Syst

1
Systémy pro detekci neoprávneného pruniku
Petr Panácek
E-mail ppanacek_at_anect.com
2
Obsah prezentace

• Technologický úvod
• IDS systémy firmy Cisco Systems
• Dohled a správa IDS systému
• Doporucený design

3
Technologický úvod

• Intrusion Detection schopnost odhalení
  neoprávnené, nesprávné nebo anomální aktivity (v
  pocítacové síti nebo na serverech)
• Intrusion Detection System - systém pro detekci
  neoprávneného pruniku, kombinace HW, SW vybavení
  vhodne zakomponovaná do pocítacové síte
• Signature signatura, vzorek jehož výskyt
  (splnení množiny podmínek) indikuje pokus o
  neoprávnený prunik

4
Delení systému pro detekci

• Podle detekcní metody
• Podle urcení
• Host-based IDS systém pro servery
• Network-based IDS systém pro sítové prostredí

5
Host-based IDS senzory

• softwarové produkty
• monitoring
• systémová volání, logy, chybová hlášení
• zamknutí duležitých souboru
• ochrana pred útoky
• na OS a aplikace, Buffer Overflow
• na Web server, na HTTPS
• Chrání prístup ke zdrojum serveru pred tím než
  muže dojít k neautorizované aktivite
• chrání jen servery a koncové pocítace
• není podpora pro všechny OS problém v
  heterogenních sítích

6
Network-based IDS senzory

• specializovaný HW (senzor)
• sítové rozhraní v promiskuitním módu
• monitoring všech paketu
• ochrana celé síte (segmentu)
• prenosová rychlost monitorovacího rozhraní muže
  být omezením
• nemožnost detekovat útoky v kryptovaném provozu

7
Porovnání Host vs Network based IDS
-

• Je schopen overit zda byl útok úspešný ci nikoliv
  
• Funkcnost není ovlivnena propustností nebo
  použitím enkrypce
• Je schopen zabránit útoku

• Využívá zdroje serveru
• Možnost použití závisí na OS
• Rozširitelnost - vyžaduje instalaci jednoho
  agenta/server

Host-Based

• Chrání všechny koncové stanice na monitorované
  síti
• Neovlivnuje výkon koncových stanic/serveru
• Je schopen detekovat DoS útoky

• Nárocnejší implementace v prostredí prepínané LAN
• Monitoring gt1Gb/s zatím problémem
• Obecne neumí proaktivne zastavit útok

Network-Based
Oba produkty se vzájemne doplnují
8
Delení systému pro detekci

• podle detekcní metody
• Detekce vzoru
• Stavová detekce vzoru
• Dekódování protokolu
• Heuristická analýza
• Detekce anomálií

9
Detekce vzoru

• Porovnávání datových paketu s databází signatur
  známých útoku
• jednoduchá
• presná
• použitelná pro všechny protokoly
• - problematická detekce nových(modifikovaných)
  útoku
• - vysoká míra chybné pozitivní detekce
• - vetšinou inspekce jen v rámci jediného paketu
  snadné vyhnutí se detekci

10
Stavová detekce vzoru

• Porovnávání datových toku s databází signatur
  známých útoku
• jednoduchá modifikace predchozí metody
• presná detekce
• použitelná pro všechny protokoly
• je obtížnejší se detekci vyhnout
• - problematická detekce nových(modifikovaných)
  útoku
• - vysoká míra chybné pozitivní detekce

11
Dekódování protokolu

• Detekce nesprávného chování protokolu (kontrola
  vuci RFC)
• minimalizace míry chybné pozitivní detekce
• presná detekce
• dobrá detekce modifikovaných útoku
• spolehlivá reakce na porušení pravidel
  protokolu
• - vysoká míra chybné pozitivní detekce RFC muže
  být nejednoznacné
• - složitejší a delší vývoj

12
Heuristická analýza

• Detekce založena na vyhodnocování (statistickém)
  typu datového provozu
• nekteré druhy podezrelých aktivit lze detekovat
  jen touto metodou
• - algoritmus casto vyžaduje ladení nastavování
  prahových hodnot, aby se zabránilo vysoké míre
  chybné pozitivní detekce

13
Analýza anomálií

• Detekce datového provozu, který se vymyká
  normálu
• Využití metod umelé inteligence
• lze detekovat nové neznámé útoky
• není potreba vyvíjet nové signatury
• - neurcitý popis výsledku detekce
• - casto príliš citlivá metoda
• - úspešnost závisí na prostredí, ve kterém se
  systém ucí co je normální
• V praxi se zatím príliš nevyužívá

14
Odezva na detekované útoky

• Odpovedí IDS na detekovaný útok muže (ale nutne
  nemusí) být
• reset podezrelého TCP spojení
• zahájení filtrace nebezpecného provozu na
  smerovaci nebo firewallu
• záznam podezrelé aktivity do logu
• IDS nejen monitoruje, ale i aktivne chrání prvky
  pocítacové síte a koncové stanice pred dusledky
  prípadných útoku

15
IDS na platformách Cisco
Solution Set
Switch Sensor
Catalyst 6500 IDS Module
Router Sensor
7xxx
3700
1700
2600
3600
Firewall Sensor
501
506E
515E
525
535
Network Sensor
4210
4235
4250
Host Sensor
Standard Edition
Web Server Edition
Secure Command Line
Web UI Embedded Mgr
CiscoWorks VMS
Mgmt
16
Vícevrstvý model ochrany síte

• 1. Linie IOS router
• Filtry, omezování šírky pásma
• blokování nechtených komunikací
• 2. Linie PIX Firewall
• provádí stavovou inspekci
• inspekci príkazu
• 3. Linie Cisco Network IDS
• Monitoruje povolené komunikace
• identifikuje podezrelé, útocné aktivity na OSI
  vrstvách 3-7
• muže resetovat, blokovat nebo zahazovat
  podezrelé pakety/komunikace

• 4. Linie Cisco Host IDS
• Detekuje a chrání pred útoky na OS, služby,
  aplikace
• Inspekce datového provozu po dekrypci

17
Implementace a provoz IDS

• zvolit IDS kombinující více metod detekce
• kombinace ochrany serveru a celých sítových
  segmentu
• pravidelné vyhodnocování informací o útocích
• pravidelné ladení systému, úpravy prahových
  hodnot
• doplnování databáze signatur

18
Záver

• Systémy pro detekci (a prevenci) neoprávneného
  pruniku jsou vhodným doplnkem k firewallové
  ochrane síte
• Kombinací sítových IDS a IDS pro servery
  dosáhneme vysokého stupne ochrany pred
  neoprávnenými aktivitami
• Správná funkcnost IDS musí být podporena
  pravidelným vyhodnocování získaných informací a
  aktualizací systému