Administracja i bezpieczeństwo systemów informatycznych

1

Systemy wykrywania włamań w aspekcie pogłębionej architektury

systemu bezpieczeństwa teleinformatycznego

Warszawska Wyższa Szkoła Informatyki

dr inż. Krzysztof Różanowski

[email protected]

2

Wprowadzenie

Celem jakichkolwiek działań z zakresu bezpieczeństwa

teleinformatycznego jest ochrona informacji, a nie

komputerów!

BezpieczeństwoSystemów Teleinformatycznych

3

Wprowadzenie

Dlaczego chronimy informację?

1. Ponieważ jest towarem (może mieć znaczenie

strategiczne)

2. Jest podstawowym elementem procesów biznesowych

3. Ze względu na obowiązujące wymagania prawne


4

Określenie zagrożenia – przed czym się bronimy?

1. Włamywacz odczytuje poufne dane

2. Włamywacz zmienia dane

3. Włamywacz usuwa dane

4. Odmowa usługi

5. Włamywacz przeprowadza inne ataki z wykorzystaniem

zaatakowanego komputera


5

Kim są wrogowie?

1. Krakerzy i hakerzy

2. Rozczarowani pracownicy

3. Rozczarowani byli pracownicy

4. Konkurencja

5. Szpiedzy

6. Przestępcy

7. Ekstremiści oraz terroryści


6

Informacja

Ze względu na znaczenie dla użytkownika całą

wykorzystywaną przez niego, jak również jego dotyczącą

informację, dzieli się na wrażliwą i niewrażliwą.

Informacja wrażliwa – informacja mogąca zostać

wykorzystana przeciwko interesom podmiotu przez

ujawnienie, nie udostępnienie lub manipulację, np.:

- wszystkie informacje, które muszą być chronione ze

względu na obowiązujące przepisy prawne (Ustawa o

ochronie danych osobowych)


7

Informacja c.d.

- informacje, które w połączeniu z innymi informacjami stają

się istotne

- informacje, dotyczące życia prywatnego członków zarządu


Informacja

Informacje wrażliwe

I. niejawne Dane

osobowe

Rys. Rodzaje informacje [1]

8

Bezpieczeństwo teleinformatyczne

Bezpieczeństwo teleinformatyczne dotyczy zakresu form wymiany,

przechowywania i przetwarzania informacji ograniczonego do technicznych

środków łączności (sieci i systemy teleinformatyczne).

Definicja:

Bezpieczeństwo teleinformatyczne: poziom uzasadnionego

zaufania, że potencjalne straty wynikające z niepożądanego

(przypadkowego lub świadomego) ujawnienia, modyfikacji,

zniszczenia lub uniemożliwienia przetwarzania informacji

przechowywanej lub przesyłanej za pomocą systemów

teleinformatycznych nie zostaną poniesione


9


Atrybuty informacji związane z jej bezpieczeństwem

1. Poufność – opisuje stopień ochrony jakiej ma ona

podlegać. Stopień ten jest określany przez osoby lub

organizacje dostarczające i otrzymujące informację.

2. Integralność – oznacza, że dane i informacje są poprawne,

nienaruszone i nie zostały poddane manipulacji.

3. Dostępność – właściwość systemu teleinformatycznego

oznaczająca dostępność danych, procesów lub aplikacji

zgodnie z wymaganiami użytkownika


10


Bezpieczeństwa teleinformatycznego nie można rozpatrywać w

oderwaniu, uważając iż szeroko rozumiane bezpieczeństwo informacji

nas nie interesuje, gdyż zajmujemy się tylko tym co związane jest z

systemami i sieciami komputerowymi. Takie podejście prowadzi do

budowania dziurawych systemów bezpieczeństwa i jest nie zgodne z

uznanymi praktykami w tym zakresie, zapisanymi, np.: w postaci

normy ISO/IEC 17799

(http://www.iso.org/iso/en/ISOOnline.frontpage).


11



Bezpieczeństwo informacji: informacje we wszelkiej

znanej postaci

Bezpieczeństwo teleinformacyjne: informacja

przekazywana za pomocą technicznych

środków łączności

Bezpieczeństwo teleinformatyczne:

informacja przetwarzana,

przechowywana i przesyłana w

systemach teleinformatycznych

Rys. Związki między różnymi rodzajami bezpieczeństwa informacji [1]

12


Osiągnięcie założonego poziomu bezpieczeństwa

teleinformatycznego można przedstawić na trójetapowym

schemacie:

1.Planowanie bezpieczeństwa teleinformatycznego

2.Wdrażanie koncepcji bezpieczeństwa teleinformatycznego

3.Utrzymywanie bezpieczeństwa teleinformatycznego


13

Zagrożenia - wewnętrzne

Przeciętnie około ¾ wszystkich incydentów związanych z

naruszaniem zasad bezpieczeństwa kojarzonych jest z

pracownikami danej firmy

Przeciętnie około 80% inwestycji związanych z

bezpieczeństwem w przedsiębiorstwach dotyczą ochrony

przed atakami z zewnątrz.

Ataki wewnętrzne (główne przyczyny):-Kradzież danych

-Szpiegostwo

-Sabotaż

-Zła wola


14

Zagrożenia wewnętrzne

Najczęstsze efekty działań:

-usuwanie wartościowych danych przedsiębiorstwa

-publikowanie lub rozpowszechnianie danych poufnych

-zmiana uprawnień, haseł, itd..

-obraźliwe maile

Anatomia ataku wewnętrznego:

Kradzież kopii zapasowych (oprogramowania systemowego,

sprzętu)->atak na sieć lub system


15

Zagrożenia zewnętrzne

Atak zewnętrzny – atak zainicjowany ze stacji pracującej poza

zaporą firewall.


Anatomia ataku zewnętrznego:

Pozyskiwanie informacji o konfiguracji środowiska, sieci

(próby komunikacji z SNMP w celu uzyskania informacji o

routerach i zaporach)->Gromadzenie danych (adresy IP,

adresy MAC, informacje o trasach)->Zbieranie informacji o

pracujących w sieci systemach (np,: nmap (freeware)

->Naruszenie pierwszego pojedynczego systemu w sieci

wewnętrznej (np..: uruchomienie na jednej ze stacji sieciowej

oprogramowania typu backdoor.

16

Zagrożenia zewnętrzne

Script kiddies – osoby korzystające z gotowych narzędzi.

White hat hakers – osoby wyszukujące luk w

zabezpieczeniach systemów (możliwa współpraca z

producentami oprogramowania)

Black hat hakers – osoby wykorzystujące swoją wiedzę do

łamania systemów bezpieczeństwa


17

Bezpieczeństwo wewnętrzne i zewnętrzne

Środki ochrony systemu:

1. Statyczne

2. Dynamiczne

Ad. 1 Instalacja i sposób zabezpieczenia systemu wraz z

opracowaniem dokumentacji

Ad. 2 Gromadzenie aktualnych informacji o lukach w

zabezpieczeniach oraz wprowadzanie niezbędnych korekt w

konfiguracji


18

Zagrożenia internetowe

- Wirusy - Wykradanie tożsamości

- Robaki - Pharming

- Trojany - Phishing

- Spam - Skrypty ActiveX i HTTP

- Dialery - Szkodliwa zawartość WWW

- Spyware - Sieci Botnet

- Adware - Exploity

- Ataki DOS i DDOS - Backdoors

- Luki w zabezpieczeniach

- Ataki typu Buffer Overflow

- Rootkity


19

Złośliwe oprogramowanie

Termin złośliwe oprogramowanie, obejmuje wirusy, robaki i konie

trojańskie, których celem jest dokonanie działań złośliwych na

systemach komputerowych.

-Koń trojański (zwany również kodem trojańskim lub trojanem)

Program który na pierwszy rzut oka wygląda na użyteczny bądź

nieszkodliwy, posiada jednak ukryty kod zaprojektowany tak, aby

wykorzystać luki w zabezpieczeniach systemu bądź uszkodzić go.

Trojany są najczęściej dostarczane za pośrednictwem poczty

elektronicznej i podszywają się pod jakiś znany program. Uszkadzają

system poprzez wykonanie załączonego, ukrytego programu.

http://www.microsft.com


20

Złośliwe oprogramowanie

-Robak używa do replikacji własnych mechanizmów, przez co jest w

stanie w sposób całkowicie niezależny rozprzestrzeniać się w sieci.

Efektem działania robaków jest np. zużywanie zasobów systemowych

zainfekowanych komputerów, co może przerodzić się w atak typu

„odmowa obsługi” (ang. Denial of Service, DoS). Niektóre robaki są w

stanie samoczynnie się uruchamiać i rozprzestrzeniać; są również

takie, które wymagają bezpośredniego uruchomienia kodu przez

użytkownika. Poza replikacją robaki mogą również podejmować inne

działania.

-Wirus wykorzystuje kod stworzony do samoreplikacji. Wirusy

rozprzestrzeniają się poprzez dołączanie swojego kodu do programu-

nosiciela. Mogą uszkodzić sprzęt, oprogramowanie oraz dane. W

przypadku uruchomienia nosiciela, uruchamiany jest również kod

wirusa, który infekuje następnie nowe programy; czasami również

podejmuje dodatkowe działania.http://www.microsft.com


21

Złośliwe oprogramowanie – diagram identyfikacji oprogramowania malware

http://www.microsft.com


22

„Sniffer (ang. wąchacz) jest to program komputerowy,

którego zadaniem jest przechwytywanie i ewentualne

analizowanie danych przepływających w sieci. Wspólną cechą

wielu takich analizatorów jest przełączenie karty sieciowej w

tryb promiscous, w którym urządzenie odbiera wszystkie

ramki z sieci, także te nie adresowane bezpośrednio do niego;

sniffery mogą jednak być uruchamiane także na ruterze, lub

na komputerze będącym jedną ze stron komunikacji sieciowej

- i w tych przypadkach, tryb promiscuous nie jest konieczny.”

(http://pl.wikipedia.org)


23

Najczęściej używanymi programami tego typu są:

• windump

• nessus

• tcpdump

• niffit

• ettercap

• dsniff

• ethereal

• snort (pełni także funkcję sieciowego systemu wykrywania

intruzów)

Skanery- przykłady:


24


Typ usługi Porty TCP Porty UDP

Usługi logowania Telnet: 23

SSH: 22

FTP: 21

NetBIOS: 139

rlogin: 512, 513,514

RPC i NFS Portmap/rcpbind: 111

NFS: 2049

Lockd: 4045

Portmap/rcpbind: 111

NFS: 2049

Lockd: 4045

X Window Od 6000 do 6255

Usługi nazewnicze DNS: blokowanie transferów

sieciowych poza zewnętrznymi

drugorzędnymi

LDAP: 389

DNS: blokowanie UDP 53 dla

wszystkich komputerów, które

nie są serwerami DNS

LDAP: 389

25

Typ usługi Porty TCP Porty UDP

Poczta elektroniczna SMTP: 25

POP: 109, 110

IMAP: 143

WWW HTTP: 80

HTTPS: 443

Poza zewnętrznymi

serwerami WWW.

Uwzględnić typowe porty

wybierane do komunikacji

8000,8080,8888

Rożne Finger: 79

NNTP: 119

SNMP: 161, 162

TFTP: 69

NTP: 123

SNMP: 161.162

ICMP Blokowanie

nadchodzących żądań

echo (ping i traceroute)


26

Za pomocą skanowania można poznać topologię sieci i konfigurację

urządzeń dostępowych, np. listy dostępu (ACL) czy tablice routingu.

Zaawansowane techniki pozwalają ominąć urządzenia filtrujące oraz

ukryć źródło skanowania. Zrozumienie tego procesu wymaga pewnej

wiedzy o budowie i działaniu protokołów warstwy transportowej i

sieciowej.

Protokoły TCP oraz UDP korzystają z tej samej warstwy sieciowej IP.

Protokół TCP jest bardziej użyteczny podczas skanowania, gdyż

realizuje połączenia typu connection-oriented. Narzędzia skanujące

śledzą numery sekwencyjne pakietów oraz odpowiedzi systemu po

otrzymaniu pakietów TCP z włączonymi określonymi flagami.

Skanowanie sieci


27

Kapsułkowanie danych TCP w IP *

Datagram IP ** - www.pckurier.pl

Protokół TCP/IP


28

Najważniejsze pola w datagramie IP:

- TTL (długość życia pakietu)

- znaczniki

-przesunięcie fragmentacji

Pole TTL określa liczbę urządzeń przełączających warstwy sieciowej

(najczęściej routerów), przez które dany pakiet może być przesłany.

Pozostałe dwa pola odpowiadają za obsługę fragmentacji

datagramów IP.

Protokół TCP/IP


29

Nagłówek TCP *

* - www.pckurier.pl

Protokół TCP/IP


30

URG - znacznik ważności pola wskaźnik ponaglający (jeśli jest

ustawiony, to pole jest sprawdzane); oznacza, że w normalnym

potoku danych umieszczone zostały dane pilne;

ACK - znacznik ważności pola numer potwierdzenia (jeśli jest

ustawiony, pole jest sprawdzane);

PSH - oznacza, że dane po odebraniu powinny zostać przekazane

procesowi wyższej warstwy, który je przetwarza bez czekania na

wypełnienie się bufora lub kolejne segmenty. Znacznik ustawiany jest

przez proces wysyłający (aplikację). Jeśli jest ustawiony u nadawcy,

nakazuje on wysłać wszystko z bufora nadawczego, niezależnie od

stopnia jego wypełnienia;

RST - natychmiastowe (jednostronne) zamknięcie połączenia;

SYN - synchronizacja numerów sekwencyjnych w celu inicjalizacji

połączenia;

FIN - znacznik określający zamiar zamknięcia połączenia (druga

strona musi potwierdzić zamknięcie).

Flagi nagłówka TCP


31

Proces nawiązywania połączenia - TCP

* - www.pckurier.pl


32

1. Host wysyła pakiet z flagą SYN, inicjując numer sekwencyjny

związany z wybranym portem - flaga informuje, że należy

odczytać pole numer sekwencyjny, w którym umieszczany jest

początkowy numer sekwencyjny (ISN - Initial Sequence Number).

Wartość ISN jest istotna i powinna być losowa

2. Jeśli docelowy port jest otwarty, to host odbierający generuje

pakiet z flagą SYN, własnym numerem sekwencyjnym oraz flagą

ACK. W pole numer potwierdzenia wpisywana jest wartość pola

numer sekwencyjny (z pakietu hosta inicjującego połączenie)

powiększona o jeden (ACK = SYN+1). Jeśli port nie jest otwarty,

host docelowy zobowiązany jest wysłać pakiet z ustawionymi

bitami RST oraz ACK



33

3. Host inicjujący połączenie odpowiada pakietem z ustawioną flagą

ACK informującą, że należy odczytać pole numer potwierdzenia,

w którym wpisana jest wartość równa ISN+1. Od tego momentu

połączenie jest nawiązane i gotowe do transmisji danych.



34

Techniki skanowania portów z wykorzystaniem TCP:

- TCP connect

- TCP SYN

- SYN/ACK

- FIN

- XMAS

- NULL

- Inverse Mapping

- Spoofed Inverse Mapping

- IP ID idle scan

Podstawowe zadania narzędzi skanowania:

- ominąć filtry pakietów (ACL),

- nie dać się wykryć przez systemy IDS,

- ukryć się w typowym ruchu sieci.


35

Metoda TCP connect wykorzystuje pełne połączenie z odległym

portem. Jeśli w fazie nawiązywania połączenia serwer odpowie

flagami SYN/ACK, oznacza to, że port jest otwarty w trybie nasłuchu

- flaga RST/ACK wskazuje na zamknięty port. Skanowanie kończy

pakiet RST, czyli czyste zamknięcie połączenia.

Spostrzeżenie to wykorzystuje technika półotwarcia - TCP SYN.

Technika TCP connect


36

Metoda TCP SYN polega na wysłaniu pakietu RST zaraz po

otrzymaniu w drugiej fazie połączenia pakietu SYN/ACK lub

RST/ACK.

Zaleta: utrudniona wykrywalność

Wada - konieczność posiadania uprawnień zastrzeżonych dla

administratora.

Technika ta zbliżona jest do ataku DoS SYN Flood, dlatego też jest

często wykrywana przez systemy IDS (np. Snort) lub odfiltrowywana

na bramkach dostępowych.

Technika TCP SYN


37

Metoda SYN/ACK wykorzystuje pakiety wysłane na wybrany port z

flagami SYN/ACK bez wcześniejszego zainicjowania połączenia

pakietem SYN. Wartość ACK w tym pakiecie odnosi się do

nieistniejącego połączenia. Skanowany system, jeśli odbierze taki

pakiet na otwartym porcie, zignoruje go, traktując jako uszkodzony.

Jeśli pakiet trafi na port zamknięty, wygenerowany zostanie pakiet

RST.

Wada:

- konieczność posiadania uprawnień administratora

- większość zapór ogniowych blokuje pakiety SYN/ACK na

zabronione porty, a skanowanie jest łatwo wykrywalne przez

programy, np. synlogger, courtney.

Technika SYN/ACK


38

Metoda FIN wykorzystuje flagę FIN. Reakcja skanowanego systemu

jest identyczna jak w przypadku techniki SYN/ACK.

Metoda ta wykorzystuje błąd w obsłudze stosu TCP/IP, przez co

działa jedynie w systemach, gdzie błąd ten nie został poprawiony -

niektóre implementacje (np. Windows) są na nią odporne.

Zaleta: trudność detekcji i zablokowania.

Technika FIN


39

Metoda XMAS wykorzystuje wszystkie flagi w pakiecie.

Otrzymując tak udziwniony pakiet, skanowany system odpowiada jak

w poprzednim przypadku, lecz dotyczy to również systemu Windows.

Technika XMAS


40

Metoda NULL wykorzystuje pakiety bez ustawionej żadnej flagi.

Zgodnie z zaleceniami RFC 793, wszystkie hosty zobowiązane są

odpowiedzieć pakietem RST, jeżeli port jest zamknięty.

Wada: niektóre systemy (m.in. w Windows, CISCO, BSDI, HP/UX,

MVS i IRIX) z powodu niewłaściwej implementacji TCP/IP nie

ignorują pakietów NULL skierowane pod adresem otwartego portu,

lecz odpowiadają pakietem RST.

Technika NULL


41

Metoda Inverse Mapping wykorzystuje wysyłanie pakietów z

ustawioną flagą RST.

HostSkanujacy -> {Pakiet RST} -> Router -> {zapytanie ARP o

adresie MAC} -> SUBNET <- {ICMP host unreachable (ICMP time

exceeded)}

Jeśli byłby to typowy pakiet (np. ping lub SYN/ACK), zostałby

zapisany w logach. Jeśli natomiast będzie to pakiet z ustawioną flagą

RST i losowym numerem ACK, istnieje duże prawdopodobieństwo,

że zostanie on zignorowany przez system ochrony, a wygeneruje

komunikat zwrotny.

Wada: brak odpowiedzi może oznaczać aktywność hosta, choć

równie prawdopodobne jest to, że router nie wygenerował

komunikatu ICMP, komunikat się zgubił lub wysłany przez

skanującego pakiet został odfiltrowany w drodze powrotnej.

Technika Inverse Mapping


42

Metoda Spoofed Inverse Mapping polega na wykorzystaniu do

skanowania jeszcze jednego komputera.

Technika Spoofed Inverse Mapping

Host B skanuje, a host A jest dodatkowym komputerem. Wszystkie

pakiety wysyłane z hosta A powinny przechodzić przez host B, co w

praktyce oznacza, że oba hosty muszą znajdować się w jednym

segmencie sieci. Możliwe są dwie metody postępowania:


43

Technika Spoofed Inverse Mapping

1. Wysyłać do hosta A pakiety z włączoną flagą ACK i sfałszowanym

adresem źródłowym wskazującym na host C. Host A odpowie na

takie pakiety segmentami RST skierowanymi do hosta C.

Ponieważ skanujący host znajduje się po drodze do hosta A,

będzie on w stanie wychwycić odpowiedź hosta C na pakiety

RST.

2. Aby nie zostawić śladu w logach na komputerze A, można od razu

wysyłać pakiety RST z fałszywym adresem źródła (wskazującym

na host A) do hosta C. Jeśli bramka wyśle komunikat ICMP

wskazujący na brak hosta C, skanujący host B może go odczytać.


44

Implementacja stosu TCP/IP

Analiza otrzymanego pakietu RST poprzez ocenę:

- wielkości okna TCP

- pola TTL (Time To Live)

Odpowiedź RST można otrzymać na przykład wysyłając pakiet FIN

na wybrany port. Niektóre systemy operacyjne zwracają pakiet RST

z ustawionym polem TTL o wartości wyższej dla portów zamkniętych.

Porty otwarte zwrócą pakiet RST z niższą wartością TTL. W

poniższym przykładzie odpowiedź z portu 22 zawiera wartość TTL

mniejszą niż 64, co zdradza otwarty port:

pakiet 1: host XXX.XXX.XXX.XXX port 20: F:RST -> ttl: 70 win: 0 => port zamknięty


pakiet 3: host XXX.XXX.XXX.XXX port 22: F:RST -> ttl: 40 win: 0 => port otwarty



45

Implementacja stosu TCP/IP

Sprawdzanie wielkości okna - różna od zera oznacza otwarty port.

Działa ona w systemach z rodziny BSD (FreeBSD, OpenBSD) oraz

Unix (AIX, DGUX), choć pojawiły się łaty w ich ostatnich wersjach. W

tym przypadku można zauważyć, że pole TTL nie zdradza stanu

portu, za to analiza wielkości okna daje dobre rezultaty:



pakiet 8: host XXX.XXX.XXX.XXX port 22: F:RST -> ttl: 64 win: 512 => port otwarty


Metoda ta jest trudna do wykrycia. Pakiet RST może wygenerować

system skanowany w bardzo wielu przypadkach. Zadanie

skanującego ogranicza się wtedy do znalezienia takiego pakietu,

który nie zostanie zapisany w logach routera i zapory ogniowej

(względnie systemu IDS), ale spowoduje zwrócenie pakietu RST.


46

IP ID idle scan

Metoda IP ID idle scan zależna jest od implementacji stosu TCP/IP

konkretnego systemu operacyjnego. Wykorzystuje ona wcześniej

opisaną technikę skanowania SYN, czyli nawiązywania połączenia

TCP. Różnica polega na wykorzystaniu trzeciego hosta jako źródła

pakietów, co pozwala na ukrycie własnego adresu.

Aby skorzystać z tej techniki, trzeba zlokalizować w Internecie tzw.

niemy (dumb) host, który nie wysyła i nie odbiera żadnych pakietów.

W tym scenariuszu biorą udział trzy hosty:

1. A - skanujący,

2. B - niemy,

3. C - skanowany, czyli cel.


47

IP ID idle scan

Technika ta wykorzystuje to, że wiele systemów operacyjnych

wpisuje kolejne liczby w pole IP ID nagłówka pakietu IP. Windows NT

zwiększa to pole stopniowo o wartość 256, Linux o 1. Jedynie system

OpenBSD losuje te wartości, przez co nie można go wykorzystać

jako niemy host. Skanowanie zaczyna host A, wysłając do hosta B

pakiety ping i sprawdzając wartości pola IP ID. W przypadku Linuksa

wartości te powinny rosnąć o jeden, co oznacza, że host B nie

wysyła ani nie odbiera żadnych pakietów:

#hping B -r HPING B (eth0 xxx.yyy.zzz.jjj): no flags are set, 40 data bytes

60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=0 ttl=64 id=41660 win=0 time=1.2 ms

60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=1 ttl=64 id=+1 win=0 time=75 ms






48

IP ID idle scan

Host A wysyła do hosta C na dowolny port pakiet SYN/ACK

(pierwsza faza nawiązywania połączenia TCP) ze sfałszowanym

adresem nadawcy wskazującym na host B sprawdzając IP ID. Host

C odpowiada na taki pakiet w sposób zdefiniowany w RFC:

-SYN/ACK, jeśli port jest otwarty w trybie nasłuchu. Na taki pakiet

host B, który nic nie wie o połączeniu, odpowie pakietem RST, a więc

zwiększone będzie pole ID IP o więcej niż 1.








49

IP ID idle scan

-RST/ACK, jeśli docelowy port na hoście C jest zamknięty. Host B

zignoruje taki pakiet.







Host A przez cały czas analizował zmiany w polu IP ID z hosta B.

Jeśli pole zwiększyło się o więcej niż jeden w kolejnym pakiecie,

znaczy to, że host B odpowiedział pakietem RST na połączenie z

hosta C, zdradzając w ten sposób, że port jest otwarty.


50

Oszukiwanie wykrywaczy

Metody ukrywania skanowania portów.

- Skanowanie portów w losowej kolejności:: niektóre systemy IDS

wykrywają sekwencyjne połączenia z jednego adresu źródłowego

z kolejnymi portami. Wystarczy wprowadzić losowość przy

wyborze portów do skanowania, by ominąć to zabezpieczenie

- Powolne skanowanie: system IDS lub dowolny inny stwierdzi

próbę skanowania systemu, jeśli wykryje kolejne połączenia z

jednego źródła do różnych portów w określonym czasie, np. za

skanowanie uważana będzie próba nawiązania 5 połączeń na

różne porty z jednego adresu w czasie 3 sekund - wiedząc to,

można uniknąć wykrycia poprzez skanowanie 5 połączeń w ciągu

4 sekund. W przypadku nieznanych ustawień można skanowanie

spowolnić do kilku pakietów na dzień


51


- Fragmentacja pakietów: część istniejących systemów IDS nie

składa defragmentowanych pakietów bądź to w obawie przed

atakiem DoS, bądź z braku takiej funkcji. Dokument RFC791

określa minimalny rozmiar zdefragmentowango pakietu na 8

oktetów, czyli mniej niż nagłówek TCP + IP, przez co flagi TCP

znajdują się w innym fragmencie niż nagłówek (segment TCP jest

hermetyzowany w pakiecie IP). Nie widząc całego pakietu,

system nie jest w stanie poprawnie go rozpoznać. Rozwiązaniem

problemu jest skonfigurowanie bramki (zapory ogniowej lub

routera), tak by składała w całość wszystkie zdefragmentowane

pakiety

- Odwrócenie uwagi: polega na stworzeniu obfitego strumienia

skanujących pakietów ze sfałszowanymi adresami nadawcy.

Wśród tych pakietów co jakiś czas znajdować się będzie adres

prawdziwego hosta inicjującego skanowanie


52


- Fałszowanie adresu nadawcy: komputer skanujący fałszuje

wszystkie adresy nadawcy, dbając jedynie o to, by przynajmniej

jeden z fałszowanych adresów znajdował się w jego podsieci.

Dzięki temu host skanujący jest w stanie podsłuchiwać pakiety

zwrotne, nie zdradzając swojego adresu

- Skanowanie rozproszone: skoordynowane skanowanie może być

wykorzystane w połączeniu z powolnym skanowaniem w celu

wykonania praktycznie niewykrywalnego skanowania w

rozsądnym czasie. Technika ta wymaga jednak wcześniejszych

przygotowań i znacznych zasobów.


53

Ewolucja zagrożeń internetowych

Front rosnący:

- Narzędzia szpiegowskie

- Targetowane ataki

- Rootkity

- Sieci typu Botnet

- Targetowany phishing

Front stabilny:

- Robaki

- Spam

- Spyware

Front zanikający:

-Wirusy


54

Liczba nowych modyfikacji złośliwych programów wykrytych w ciągu jednego

miesiąca

* Na podstawie http://www.kaspersky.pl


Aktywność złośliwych programów

Klasa Udz. % Zmiana

TrojWare 91,79 +2,79%

VirWare 4,70 -1,3%

MalWare 3,51 -1,49%

55

Liczba nowych modyfikacji oprogramowania klasy TrojWare, wykrywanych

każdego miesiąca przez analityków firmy Kaspersky Lab




56


Liczba nowych programów z klasy VirWare wykrywanych przez analityków

firmy Kaspersky Lab w poszczególnych miesiącach



57

Nowoczesna ochrona

Metoda proaktywna kontroluje następującą aktywność*:

1. Podejrzane zachowanie: analizuje wszystkie procesy załadowane

w systemie, zapisuje zmiany wykonywane w rejestrze i systemie

plików.

2. Uruchamianie przeglądarki internetowej z parametrami:

przechwytywanie ukrytych uruchomień przeglądarki internetowej z

parametrami.

3. Ingerencja w inny proces: przechwytuje wszystkie próby dodania

kodu do innych aplikacji.



58

Nowoczesna ochrona

4. Ukryte procesy (rootkit): wykrywa modyfikacje wykonywane przez

rootkity, które mają na celu ukrycie przed użytkownikiem plików i

folderów, kluczy i wartości rejestru, uruchamianych programów, usług

systemowych, sterowników, połączeń i aktywności sieciowej.

5. Window Hook: przechwytuje próbę ingerencji biblioteki (*.dll) w

procesy systemowe.

6. Podejrzane wpisy w rejestrze: przechwytuje próbę stworzenia

“ukrytych” wpisów w rejestrze, które nie są wykrywane przez

standardowe programy (np.: do edycji rejestru) .

7. Podejrzana aktywność systemu: wykrywa zmiany w systemie

wskazujące na obecność aktywnego szkodliwego kodu.


59

IDS - Intrusion Detection System

Zadanie systemu wykrywania intruzów polega na identyfikacji i

reagowaniu na nieautoryzowaną działalność skierowaną

przeciwko chronionym zasobom sieciowym.

Wyróżnia się trzy główne rodzaje systemów IDS:

- hostowe (HIDS - Host IDS)

- sieciowe (NIDS - Network IDS)

- hybrydowe (NNIDS - Network Node IDS). Różnią się one

lokalizacją w sieci oraz zakresem działania.


60


Internet

Firewall

Serwer

WWW

Serwer

WWW

Serwer

poczty

Serwer

DNS

HIDS HIDS

HIDS HIDS HIDS HIDS

61


Internet

Firewall

Serwer

WWW

Serwer

WWW

Serwer

poczty

Serwer

DNS

NIDS NIDS

NIDS

62

Internet

Firewall

Serwer

WWW

Serwer

WWW

Serwer

poczty

Serwer

DNS

NIDS 1

NIDS

NIDS 2

NIDS 3 NIDS 4

Prywatna sieć zarządzania Prywatna sieć zarządzania

Centralny system

zarządzający NIDS


63


Systemy HIDS można podzieli na trzy kategorie:

1. Tradycyjne - z programem agenta zainstalowanym na każdej

chronionej maszynie. Agent nadzoruje logi systemowe, dziennik

zdarzeń, kluczowe pliki systemowe oraz inne zasoby, które mogą

podlegać weryfikacji. Podejrzane działania wykrywane są po ich

zarejestrowaniu przez system. Ostrzeżenia o nadużyciach i

zauważonej nieautoryzowanej działalności wysyłane są poprzez

sieć do centralnej konsoli.


64



2. Programy badające integralność plików - sprawdzają status

kluczowych plików systemowych oraz rejestru. Zapamiętują stan

wybranych plików (najczęściej poprzez stworzenie bazy z sumami

kontrolnymi) i w określonym czasie dokonują porównania

ze stanem bieżącym. Taki sposób działania pozwala wykryć

podmiany plików (np. na konia trojańskiego) oraz zmiany w

konfiguracji. Przykładem takiego programu jest Tripwire.


65



3. Systemy zapobiegania włamaniom (IPS – Intrusion Protect

System) – przyjmują aktywną postawę w stosunku do zagrożeń -

integrują się z systemem operacyjnym, przechwytując wywołania

systemowe jądra lub interfejsów programowych API. W

momencie wykrycia podejrzanych działań programy IPS są w

stanie zablokować wywołanie danej funkcji i udaremnić atak.


66


Z punktu widzenia systemów IDS istnieją trzy kategorie ataków:

1. Ataki rozpoznawcze - takie jak rozpoznanie sieci, tworzenie

mapy systemu z uwzględnieniem jej krytycznych punktów, np.

serwerów DNS, kontrolerów domeny.

2. Właściwe ataki - polegające na próbie wykorzystania znanych i

nieznanych luk w systemach operacyjnych i aplikacjach.

Najczęściej wykorzystuje się w tym celu przepełnienie bufora w

aplikacji lub błędy w interpretacji nietypowych danych

wejściowych.

3. Ataki typu odmowa dostępu do usług (Denial of Service)


67


Istnieją też trzy podstawowe techniki wykrywania ataków stosowane

w klasycznych systemach IDS:

1. Sygnatury - dopasowywanie wzorców: zestawów bajtów, wyrażeń

regularnych (regular expression).

2. Badanie częstości zdarzeń i przekraczania pewnych limitów w

określonej jednostce czasu.

3. Wykrywanie anomalii statystycznych, np. nagłe odstępstwo

rozmiarów pakietów IP od przeciętnego rozmiaru obserwowanego

w danej sieci.


68


Do głównych (priorytetowych) zadań systemów IDS należy:

analiza aktywności systemu i użytkowników

wykrywanie zbyt dużych przeciążeń

analiza plików dziennika

rozpoznawanie standardowych działań włamywacza

natychmiastowa reakcja na wykryte zagrożenie

tworzenie i uruchamianie pułapek systemowych

wykrywanie podatności systemu na ataki

ocena integralności poszczególnych części systemu wraz z danymi

Podsumowanie

69

System Fedora Linux posiada możliwość monitorowania

i zapisywania prawie każdego działania, które ma

miejsce w systemie.


70

LogSentry

Pakiet LogSentry to narzędzie, które ułatwia zarządzanie

systemem plików dzienników.

LogSentry zwraca uwagę administratora, na rzeczy które

mogłoby być niezauważone.

Sprawdza pliki dzienników generowane przez standardowe

narzędzie systemu Linux, syslog, filtruje wiadomości, które

informują o zagrożeniach dla systemu, a następnie porządkuje

je według kategorii i przesyła w postaci komunikatu do

administratora systemu.


71

LogSentry

Domyślnie LogSentry sprawdza wiadomości w plikach

dzienników messages, secure, mail (/var/log).

Istnieje możliwość zmiany wykorzystywanych plików

dzienników, funkcji, które monitoruje pakiet, poziom

monitorowania syslog oraz częstotliwość generowanych

raportów.


72

Demon syslogd


Tab. Poziomy wiadomości

Poziom Co oznacza

alert wymagana jest natychmiastowa interwencja

crit stan krytyczny

debug szczegółowe informacje o stanie przetwarzania

emerg system w stanie niestabilnym

err wystąpienie błędu

info informacyjny

notice ważne, ale nie informuje o wystąpieniu błędu

warning potencjalna możliwość wystąpienia błędu

73

Zawartość pliku konfiguracyjnego /etc/syslog.conf


74

LogSentry

1. Pobieranie i instalacja pakietu LogSentry

# rpm –Uhv logsentry*

2. Pliki konfiguracyjne:

- logsentry.cron (uruchamia skrypt logcheck.sh -

/etc/cron.d/)

- logtail, logcheck.sh (/usr/bin)

- README (/usr/share/doc/logcheck*)


75

LogSentry - korzystanie

Wiadomości przesyłane w postaci komunikatu e-mail do

administratora są uporządkowane według następujących

kategorii:

•Active System Attack Alerts – wskazują na próby, które

mogą być włamaniami do systemu

•Security Violations – informacje o błędach i naruszeniach

zabezpieczeń, które mogą wskazywać na istnienie problemów,

ale niekoniecznie muszą być włamaniami do systemu

•Unusual System Events – zawiera wszystkie wiadomości

dziennika zdarzeń, które nie pasują do powyższych kategorii,

ale nie mogą być pominięte.


76

LogSentry - dopasowanie

Modyfikacja skryptu /usr/sbin/logcheck.sh odbywa się

poprzez zmianę wartości zmiennych wewnątrz skryptu:

- SYSADMIN: definiuje konto użytkownika root

- TMPDIR: definiuje miejsce, w którym zapisywane są pliki

tymczasowe

- GREP: wskazuje na polecenie, które jest wykorzystywane

do przeszukiwania plików dzienników

- MAIL: wiadomość jest wysyłana przez LogSentry z

wykorzystaniem polecenia mail


77

LogSentry – dopasowanie c.d

- Filter files: LogSentry definiuje 4 pliki filtrów. Każdy z nich

zawiera słowa kluczowe wykorzystywane do odszukiwania

wiadomości lub ich pomijania:

- HACKING FILE=/etc/logsentry/logcheck.hacking

- VIOLATIONS FILE=/etc/logsentry/logcheck.violations

- VIOLATIONS_IGNORE FILE=

=/etc/logsentry/logcheck.violations.ignore

- IGNORE_FILE=/etc/logsentry/logcheck.ignore


78

LogSentry – dopasowanie c.d

-Log files: domyślnie skrypt logcheck.sh uruchamia polecenie

logtail do sprawdzania zawartości plików messages, secure,

maillog (/var/log). Następujące linie definiują, które pliki

dzienników są sprawdzane oraz miejsce, gdzie logtail zapisuje

pliki tymczasowe:

- $logtail /var/log/messages > $TMPDIR/check.$$

- $logtail /var/log/secure > $TMPDIR/check.$$

- $logtail /var/log/maillog > $TMPDIR/check.$$


79

LogSentry – modyfikacja plików filtrów

1. /etc/logsentry/logcheck.hacking – zawiera słowa kluczowe

znajdujące się w wiadomościach dzienników zdarzeń, które

wskazują na włamanie do systemu

2. /etc/logsentry/logcheck.ignore – zawiera słowa kluczowe

odpowiadające wiadomościom, które powinny być zawsze

pomijane

3. /etc/logsentry/logcheck.violations – zawiera słowa kluczowe

odpowiadające próbom naruszenia systemu zabezpieczeń,

które nie koniecznie muszą odpowiadać włamaniom do

systemu

4. /etc/logsentry/logcheck.violations.ignore – zawiera słowa

kluczowe odpowiadające wiadomościom, które należy

pomijać, chociaż informują o naruszeniach bezpieczeństwa


80


Plik /etc/logsentry/logcheck.hacking

81


Plik /etc/logsentry/logcheck.ignore

82


Plik /etc/logsentry/logcheck.violations

83


Plik /etc/logsentry/logcheck.violations.ignore

84


LogSentry logging

85


LogSentry logging <- nessus

86



87



88



Raport Nessus

89

PortSentry

PortSentry podejmuje aktywny udział w ochronie

systemu przed włamaniami z poziomu sieci. Narządzie

PortSentry może być wykorzystane do monitorowania

wybranych portów TCP i UDP, a także może reagować

na próby uzyskania dostępu do tych portów.

PortSentry działa jako uzupełnienie LogSentry poprzez

aktywne wyszukiwania włamań do portów sieciowych.


90

PortSentry

PortSentry działa w kilku różnych trybach:

1. Basic – to tryb, którego narzędzie używa

standardowo. Wybrane porty TCP i UDP w tym

trybie są powiązane z PortSentry, dzięki czemu

monitorowane porty wyglądają jakby oferowały

usługi dla sieci.

2. Stealth – w tym trybie PortSentry nasłuchuje portów

na poziomie warstwy gniazda (zamiast wiązać się z

portami). Ten tryb może wykrywać różne techniki

skanowania (SYN, FIN, XMAS). Może czasami

generować fałszywe alarmy.


91

PortSentry

PortSentry działa w kilku różnych trybach:

3. Advanced Stealth – tryb oferuje tę samą metodę

detekcji co tryb stealth, ale zamiast monitorować

tylko wybrane porty, monitoruje wszystkie porty

poniżej wybranego (domyślnie jest to port 1023).

Można wyłączyć monitorowanie określonych portów.


92

PortSentry - instalacja

Instalacja pakietu:

#rpm –Uhv portsentry*

Zainstalowany pakiet składa się z plików

konfiguracyjnych znajdujących się w katalogu:

/etc/portsentry, skryptu uruchomieniowego portsentry

(/etc/init.d/portsentry), polecenia portsentry (/usr/sbin)

oraz plików README znajdujące się w katalogu

(/usr/share/doc/portsentry*)


93

PortSentry - korzystanie

1. Skrypt uruchomieniowy /etc/init.d/portsentry jest

uruchamiany automatycznie podczas startu systemu

na poziomie 3, 4, 5.

2. Istnieje ciąg portów zdefiniowanych domyślnie, który

jest monitorowany.

3. W odpowiedzi na ataki (za które uznawane jest

skanowanie monitorowanych portów) wszystkie

kolejne próby połączenia się z usługami protokołu

TCP (UDP) będą blokowane.


94

PortSentry - korzystanie

Komputery, których dostęp do systemu został

zablokowany, są wymienione w plikach

portsentry.blocked.tcp lub portsentry.blocked.udp

znajdujące się w katalogu /var/portsentry.

Usunięcie określonych wpisów powoduje przywrócenie

dostępu dla wybranych komputerów.


95

PortSentry - konfiguracja

Konfiguracja narzędzia PortSentry możliwa jest poprzez

modyfikację pliku /etc/portsentry/portsentry.conf. W pliku tym

istnieje możliwość wyboru:

-plików, które mają być monitorowane

-trybu monitorowania

-sposobu działania po wykryciu próby skanowania.

Odpowiedzi mogą obejmować:

-blokowanie dostępu dla zdalnego komputera

-przekierowanie wiadomości pochodzących od zdalnego komputera

do nieaktywnego komputera

-dopisanie reguły firewalla blokującej pakiety pochodzące od

zdalnego komputera.


96

PortSentry – konfiguracja (wybór portów)

Istnieje możliwość modyfikacji pliku

/etc/portsentry/portsentry.modes do zmiany trybu uruchamiania

narzędzia PortSentry.

Plik portsentry.conf definiuje porty, które są monitorowane w

trybach basic i stealth. Opcje TCP_PORTS i UDP_PORTS definiują,

które porty są monitorowane.

Porty przypisane do monitorowania są wybierane na podstawie kilku

różnych kryteriów. Porty niższe (1,11,15, itd.) są wybierane do

przechwytywania skanerów portów, które zaczynają działania od

portu 1. Kolejną metodą jest dołączenie portów, które są testowane

przez włamywaczy, ponieważ związane z nimi usługi są podatne na

ataki (systat – port 11, netstat – port 15).


97


Jeżeli następuje zmiana trybu pracy z basic na stealth portami

monitorowanymi są porty wskazywane przez opcje:

ADVANCED_PORT_TCP i ADVANCED_PORT_UDP. Domyślna

wartość to:ADVANCED_PORT_TCP=”1023”

ADVANCED_PORT_UDP=”1023”

Można wyłączyć porty ze skanowania za pomocą opcji:

ADVANCED_EXCLUDE_TCP i ADVANCED_EXCLUDE_UDP.

Domyślne ustawienia:

ADVANCED_EXCLUDE_TCP=”111,113,139”

ADVANCED_EXCLUDE_UDP=”520,138,137,67”


98


Domyślnie usługi ident i NetBIOS dla TCP -porty 111,113,139

Domyślnie usługi route, NetBIOS, Bootp dla UDP –porty

520,138,127,67

Porty te są wyłączone z zaawansowanego skanowania, ponieważ

zdalny komputer może odwołać się do tych portów bez wrogich

zamiarów.


99

PortSentry – identyfikacja plików konfiguracyjnych

Oprócz pliku portsentry.conf istnieją inne pliki konfiguracyjne

wykorzystywane przez PortSentry. Pliki te zdefiniowane są w pliku

portsentry.conf:

# Ignorowane komputery

IGNORE_FILE=/etc/portsentry/portsentry.ignore

# Komputery, którym odmówiono dostępu (historia)

HISTORY_FILE=/etc/portsentry/portsentry.history

# Komputery, którym odmówiono dostępu tylko w tej sesji

(tymczasowo)

BLOCKED_FILE=/var/portsentry/portsentry.blocked


10

0

PortSentry – określenie reakcji

Opcje BLOCK_TCP i BLOCK_UDP definiują reakcję na

skanowanie portów. Domyślnie definicje tych opcji mają postać:

BLOCK_TCP=”2”

BLOCK_UDP=”2”

-wartość „2” (wartość domyślna) powoduje tymczasowe

zablokowanie dostępu do usług skanowanego portu oraz zapisanie

zdarzenia w dzienniku zdarzeń. Jeżeli jakieś polecenia zostały

zdefiniowane przez opcję KILL_RUN_CMD to polecenie jest

uruchamiane.

-wartość „0” powoduje zapisanie dziennika zdarzeń, ale nie

prowadzi do zablokowania zdalnego dostępu

-wartość „1” powoduje uruchomienie opcji KILL_ROUTE i

KILL_HOSTS_DENY.


10

1


Domyślnie kolejne żądania nadchodzące od zdalnego komputera

zostaną przekierowane do nieaktywnego komputera, a adres IP

zdalnego komputera zostanie dopisany do pliku /etc/hosts.deny, co

spowoduje zablokowanie dostępu do usług sieciowych.

KILL_ROUTE – opcja uruchamia polecenie /sbin/route. Domyślne

ustawienie:

KILL_ROUTE=”/sbin/route add –host $TARGET$ gw 127.0.0.1 ”

KILL_HOSTS_DENY – opcja jest wykorzystywana do odrzucania

żądań skierowanych do usług sieciowych, które są chronione. Ta

opcja jest domyślnie zdefiniowana następująco:

KILL_HOSTS_DENY=”ALL: $TARGET$”


10

2


KILL_RUN_CMD – definicja dowolnego polecenia wykonywanego

jako odpowiedź na działanie. Wartość opcji powinna być pełną

ścieżką do skryptu

PORT_BANNER – można wysłać wiadomość do osoby, która

uruchamia monitor PortSentry

Np.: PORT_BANNER=”**Unauthorized access prohibited**

Your connection attemp has been logged. Go away.”

SCAN_TRIGGER – liczba skanowań pochodzących od komputera

zdalnego przed uruchomieniem „odpowiedzi” PortSentry.

Domyślnie wartość wynosi 0.


10

3

PortSentry – modyfikacja portsentry.modes

Plik /etc/portsentry/portsentry.modes definiuje tryby uruchamiania

PortSentry podczas włączania systemu:

tcp

udp

#stcp

#sudp

#atcp

#audp

Opcje tcp i udp to podstawowe tryby pracy PortSentry. Pozostałe

obejmują stealth (stcp) i advanced (atcp). Jednocześnie może działać

tylko jeden tryb pracy.


10

4


Skanowanie zdalnego hosta

10

5


Info Mail z wykrycia procesu skanowania

10

6


Zablokowanie dostępu do skanowanego hosta

10

7



Raport Nessus

10

8


Wylistowania reguł firewall’a

10

9


Modyfikacja reguły firewall – uzyskanie dostępu

11

0

Ochrona sieci - podsumowanie

Strategia nowego podejścia:

1. Konieczność stosowania technologii proaktywnych, skanowanie

oparte o sygnatury jest niewystarczające

2. Konieczność stosowania rozbudowanych, zintegrowanych

systemów ochrony, sam antywirus jest niewystarczający

3. Konieczność stosowania ochrony wszystkich elementów sieci

(stacje robocze, serwery, bramy internetowe)

4. Konieczność stosowania systemu ochrony z centralnym

zarządzaniem, dostępnym z poziomu ujednoliconego interfejsu.


11

1

Ochrona sieci - podsumowanie

Wielomodułowa ochrona:

1.Antivirus + Antispare + Antiphishing + Antispam

2.Technologie proaktywne (heurystyka genetyczna)

3.Ochrona sieci – sprzęt typy Network Secure

4.Zaawansowana polityka bezpieczeństwa: IPS, Firewall, Dostęp do

plików i zasobów systemowych


11

2

Dziękuję za uwagę


Documents

Administracja i bezpieczeństwo systemów informatycznych