Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Systemy detekcji intruzów Maciej Miłostan. Agenda Trochę teorii –Co to jest IDS? –Włamania i ataki –Systemy IDS a IPS –Specyfikacja CIDF i tym podobne.

Podobne prezentacje


Prezentacja na temat: "Systemy detekcji intruzów Maciej Miłostan. Agenda Trochę teorii –Co to jest IDS? –Włamania i ataki –Systemy IDS a IPS –Specyfikacja CIDF i tym podobne."— Zapis prezentacji:

1 Systemy detekcji intruzów Maciej Miłostan

2 Agenda Trochę teorii –Co to jest IDS? –Włamania i ataki –Systemy IDS a IPS –Specyfikacja CIDF i tym podobne Analiza i korelacja danych Snort – de facto standard Wizualizacje i raporty Aplikacje zarządzające Podsumowanie

3 Co to jest IDS? Hmm, tu się dzieje coś niedobrego!! !

4 Włamanie, próba włamania,... czy zwykła aktywność Metody włamań Luki w systemach Aktualność reguł systemu IDS Rozciągnięcie sekwencji działań w czasie, rozdzielenie na wiele sesji Ataki typu DRDoS Idea a praktyka

5 Włamania i ataki Włamanie: –ciąg współzależnych działań –zagrożenie naruszenia bezpieczeństwa zasobów –nieautoryzowany dostęp do danej domeny komputerowej lub sieciowej Włamanie jest skutkiem ataku

6 Model ataku Metoda Inicjator ataku Cel

7 Rodzaje ataków (1) AtakującyCel ataku Atakujący Cel Węzeł pośredniczący Atakujący Cel ataku

8 Rodzaje ataków (2) Atakujący Cel ataku

9 Rodzaje ataków (3) Węzeł demona Węzeł demona Węzeł demona Węzeł demona Węzeł demona Węzeł demona Węzeł demona Węzeł demona Węzeł demona Węzeł zarządzający ATAKUJĄCY Węzeł docelowy (cel ataku)

10 Anatomia ataku Czynności przygotowawcze Wykonanie ataku Zwieńczenie ataku

11 Podział systemów IDS (1) Sieciowe (network based) i stanowiskowe (host based) Według faz ataku

12 Podział systemów IDS (2) Systemy wykrywające naruszenie reguł bezpieczeństwa Sieciowe skanery bezpieczeństwa Klasyczne systemy wykrywania włamań Systemy wykrywające ślady przeprowadzonych ataków Systemy kontroli spójności Analizatory plików dzienników Wabiki, pułapki internetowe (honey pots)

13 Systemy IDS a IPS O, X się włamał... O X się próbuje włamać... Drop all src= X IDSIPS

14 Lokalizacja systemu IDS SPAN (switch port analyzer) HUB Taps&TopLayer switches IDSSwitch Router IDSSwitch Router Hub

15 Taps

16 Wydajne architektury IDS Stateful Intrusion Detection for HighSpeed Networks, Kruegel Ch., Valeur F., Vigna G. Kemmerer R., 2002

17 Przegląd produktów Systemy IDS w sieci

18 Common Intrusion Detection Framework ETHERNET Event(E-)Box Sensor, Passive Protocol Analyzer Countermeasures(C-)Box (ie. close connection) Analysis(A-)Box Pattern matching, Signature analysis Storage, Data (D-)box GIDOs

19 Przykład S-wyrażeń i GIDO (Delete (Context (HostName 'first.example.com') (Time '16:40:32 Jun ') ) (Initiator (UserName 'joe') ) (Source (FileName '/etc/passwd') ) )

20 Agenda Trochę teorii Analiza i korelacja danychAnaliza i korelacja danych Snort – de facto standard Wizualizacje i raporty Aplikacje zarządzające Podsumowanie

21 Analiza danych = problemy Jak korelować informacje? Jakich metod można użyć? Jak powiązać połączenia inicjowane w wielu sesjach, z różnych adresów, źródłowych na rozmaite adresy docelowe? Jak zidentyfikować intruza?

22 Eksploracja danych MINDS (Minesota) PROJECT IDS (Columbia): SilkRoad inc. n1.html n1.html

23 Metody (1) Grupowanie (Clustering) Odkrywanie Asocjacji (Association) Analiza statystyczna (Statistical Analysis) Generacja reguł (Rule Abduction) Odkrywanie powiązań lub generacja drzew decyzyjnych (Link or Tree Abduction) Analiza odchyleń statystycznych (Deviation Analysis) Uczenie sieci neuronowych (Neural Abduction)

24 Metody (2) Anomaly detection algorithms (np. MINDS) Models of normal behavior and intrusion behavior (np. PROJECT IDS) Myriad heterogeneous distributed network sensors cyberspace situational awareness (patrz artykuł na stronach SilkRoad Inc.)

25 Agenda Trochę teorii Analiza i korelacja danych Snort – standard de factoSnort – standard de facto Wizualizacje i raporty Aplikacje zarządzające Podsumowanie

26 Snort – de facto standard... Martin Roesch Rok 1998 Lightweight intrusion detection system Najczęściej stosowany system detekcji intruzów na świecie Heavyweight champion

27 Świat Snort-a

28 Sourcefire Firma komercyjna utworzona przez Martin Roesch-a w 2001 roku Oferuje produkty komercyjne oparte o Snort-a i pochodne Rozwiązania dla sieci Gbit-owych. Przejęta przez CheckPoint-a

29 Snort – wymagania i instalacja Pentium, 64MB RAM, 1GB HDD, 10Mbps Ethernet NIC That's about the bare minimum.. M. Roesch-czerwiec 05 Libpcap, tcpdump, iptables (Snort inline), libnet GD, Perl, Adodb, MySQL, PHP

30 Snort – instalacja Podstawowa: 1)Pobieramy źródła: wget 2)linux# tar –zxvf snort tar.gzsnort tar.gz 3)cd snort )./configure 5)make 6)make install 7)Pobieramy reguły (lub piszemy własne ) : Bardziej złożone instalacje:

31 Snort – tryby pracy Sniffer Mode Packet Logger Mode Network Intrusion Detection Mode Inline Mode

32 Sniffer Mode Nagłówki IP i TCP/UDP/ICMP./snort –v Nagłówki i zawartość pakietów./snort –vd Nagłówki IP, zawartość pakietów, nagłówki łącza danych./snort -vde

33 Packet Logger Logowanie pakietów./snort -dev -l./log Hierarchia katalogów a sieć lokalna./snort -dev -l./log -h /24 Logowanie w formacie binarnym./snort -l./log -b Playback./snort -dv -r packet.log Filtr BPF./snort -dvr packet.log icmp

34 Barnyard Umożliwia efektywny zapis na dysku – odciąża główny proces Snort-a Monitoruje binarne pliki logów Snort-a i konwertuje je do różnych formatów Trzy tryby przetwarzania: –one shot –Ciągły(continual) –Ciągły z punktami kontrolnymi (continual w/checkpoint)

35 Network Intrusion Detection Mode Tryb detekcji prób włamań./snort -dev -l./log -h /24 -c snort.conf Przełącznik –v powinien zostać pominięty przy zastosowaniach produkcyjnych (groźba utraty pakietów) Logowanie nagłówków warstwy łącza danych też jest zbędne./snort -d -l./log -h /24 -c snort.conf Alert: -A none|full|fast|unsock|cmg|console Logowanie do syslog-a: -s./snort -c snort.conf -A fast -h /24 Kolejność reguł: -o najpierw Pass, a potem Alert

36 Inline Mode Iptables (libipq) zamiast libpcap Wymaga LibNet (http://www.packetfactory.net) Trzy typy reguł –drop –reject –sdrop (bez logowania) Kolejność reguł –->activation->dynamic->drop->sdrop->reject-> a lert->pass->log –z opcją –o: ->activation->dynamic->pass->drop->sdrop-> reject->alert->log Zmiana zawartości pakietu, STREAM4

37 Konfiguracja Snort-a Snort.conf –Adresy sieci –Tryb uruchomienia –Katalog z regułami –Nazwy plików z regułami –Katalog logowania –Tryb logowania

38 Architektura Snort-a Packet Decoder Preprocessor (Plug-ins) Detection Engine (Plug-ins) Output Stage (Plug-ins) Packet Stream Sniffing Data Flow Alerts/Logs

39 Moduł detekcji Sip: Dip: Dp: 80 (flags: A+; content: foo;) (flags: A+; content: bar;) (flags: A+; content: baz;) alert tcp

40 System reguł alert tcp ! /24 any -> /24 any (flags: SF; msg: SYN-FIN Scan;) Dwie sekcje reguły nagłówek reguły (rule header): alert tcp ! /24 any -> /24 any opcje reguły (rule options): (flags: SF; msg: SYN-FIN Scan;) Nagłówki i opcje mogą być łączone w dowolnych kombinacjach

41 Nagłówek reguły Typ Adres Port Kierunek Aktywowanie/dynamiczne

42 Nagłówek reguły-typy alert – generuje alert przy użyciu wybranej metody i zapisuje pakiet w logu log – zapisuje pakiet w pliku logu pass – ignoruje pakiet activate – wygenerowanie alertu i aktywacja reguły dynamicznej dynamic – reguła pozostaje nieaktywna do momentu aktywacji przez inną regułę – po czym działa jak reguła log drop powoduje odrzucenie przez iptables pakietu i zapisanie go w logu reject – powoduje odrzucenie (drop) przez iptables pakietu i zapisanie go w logu, a następnie wysyła TCP reset, albo ICMP port nieosiągalny (port unreachable) sdrop – powoduje, że iptables odrzuca pakiet (drop), ale go nie loguje

43 Opcje reguł (1) meta-data –Opcje dostarczające informacji o regule, ale nie mające znaczenia w trakcie detekcji payload –Opcje powodujące sprawdzanie zawartości pakietów - mogą być wewnętrznie powiązane (inter-related) non-payload –Opcje sprawdzające nagłówki pakietów i tym podobne (non-payload data) post-detection –rule specific triggers (uruchamiane po odpaleniu reguły)

44 Opcje reguł(2) IP TTL IP ID Fragment size TCP Flags TCP Ack number TCP Seq number Payload size Content Content offset Content depth Session recording ICMP type ICMP code Alternate log files

45 Przykładowe reguły (1) log tcp any any -> /24 !6000:6010 (loguje wszystko oprócz Xwindows) log tcp any :1024 -> /24 500: log udp any any -> /24 1:1024 log udp alert tcp ![ /24, /24] any -> \ [ /24, /24] 111 (content: "| a5|"; \ msg: "external mountd access";) log tcp any any -> /24 :6000

46 Przykładowe reguły (2) activate tcp !$HOME_NET any -> $HOME_NET 143 (flags: PA; \ content: "|E8C0FFFFFF|/bin"; activates: 1; \ msg: "IMAP buffer overflow!";) dynamic tcp !$HOME_NET any -> $HOME_NET 143 \ (activated_by: 1; count: 50;) alert tcp any any <> /24 80 (content: "bad.htm"; \ msg: "Not for children!"; react: block, msg;) Opcja react: block - close connection and send the visible notice warn - send the visible, warning notice (will be available soon) alert tcp any any -> any 23 (flags:s,12; tag:session,10,seconds;)

47 Przykładowe reguły (3) Standalone Thresholds –Limit logging to 1 event per 60 seconds: threshold gen_id 1, sig_id 1851, type limit, track by_src, \ count 1, seconds 60 –Limit logging to every 3rd event: threshold gen_id 1, sig_id 1852, type threshold, track by_src, \ count 3, seconds 60 –Limit logging to just 1 event per 60 seconds, but only if we exceed 30 events in 60 seconds: threshold gen_id 1, sig_id 1853, type both, track by_src, \ count 30, seconds 60

48 Przykładowe reguły(4) Rule Thresholds –This rule logs the rst event of this SID every 60 seconds. alert tcp $external_net any -> $http_servers $http_ports \ (msg:"web-misc robots.txt access"; flow:to_server, established; \ uricontent:"/robots.txt"; nocase; reference:nessus,10302; \ classtype:web-application-activity; threshold: type limit, track \ by_src, count 1, seconds 60 ; sid: ; rev:1;)

49 Przykładowe alerty (1) [**] [1:2517:13] IMAP PCT Client_Hello overflow attempt [**] [Classification: Attempted Administrator Privilege Gain] [Priority: 1] 11/17-13:48: :90:F5:29:32:3F -> 0:4:96:1B:BF:C0 type:0x800 len:0x : > :993 TCP TTL:64 TOS:0x0 ID:33172 IpLen:20 DgmLen:104 DF ***AP*** Seq: 0xBF224CAF Ack: 0x3952E434 Win: 0xF8E0 TcpLen: 32 TCP Options (3) => NOP NOP TS: [Xref => tin/MS mspx][Xref => bin/cvename.cgi?name= ][Xref =>

50 Przykładowe alerty (2)

51 Agenda Trochę teorii Analiza i korelacja danych Snort – standard de facto Wizualizacje i raportyWizualizacje i raporty Aplikacje zarządzające Podsumowanie

52 Narzędzia do wizualizacji SnortALog ACID id.html BASE SnortReport Inne

53 SnortALog (1) Tworzy raporty w plikach HTML, PDF i tekstowych Generuje grafiki w formacie GIF, PNG lub JPG w przypadku raportów w HTML CLI (Command Line Interface) i GUI (Graphic User Interface) Współpracuje z logami Syslog-a, obsługuje alerty Snort-a w trybach Fast i Full

54 SnortALog (2) Works with all Snort preprocessor (spp_stream4, spp_portscan, spp_decoder, flow, flow-portscan...) Has the possibility to link the Snort signature to the web reference attack description Works with "-I" Snort option to specify an interface and add report Works now with "-e" Snort option (Display the second layer header info) Uses a specific plugin for generating your own reference Snort rules

55 SnortALog (3) Can specify order (ascending or descending) Can specify the number of occurrences to view Can resolve IP addresses and domains Add colors for the best visibility Possibility to do filtering (if you only want a specific IP source or high severity snort logs)

56 SnortALog (4) Works with CheckPoint Fw-1 (4.1 and NG) in syslog and fw logexport command Works now with CheckPoint Fw-1 SmartDefense Works with Netfilter and IPFilter syslog logs Works with Netfilter and PFilter syslog logs Works now with syslog CISCO PIX logs (Thanks to Edwin) Works on Windows box (basic option: no graph) Works with Lucent Brick Firewall logs

57 SnortALog instalacja 1)Sprawdzamy, czy mamy wymagane biblioteki –grafika: GD-1.19.tar.gz do generacji wykresów w formacie GifGD-1.19.tar.gz GDGraph-1.39.tar.gz GDTextUtil-0.85.tar.gz –generacji raportów w PDF: htmldoc source.tar.gz HTML-HTMLDoc-0.07.tar.gz –GUI : Moduły i kod Tk dla Perl/Tk. Tk tar.gz perl-Tk i386.rpm –baza Whois: Net-Whois-IP-0.50.tar.gz

58 SnortALog instalacja(1) 2)Pobieramy źródła: wget /snortalog/snortalog_v2.4.0.tgzhttp://jeremy.chartier.free.fr/ /snortalog/snortalog_v2.4.0.tgz 3)linux# tar –zxvf snortalog_v2.4.0.tgzsnortalog_v2.4.0.tgz 4)cd snortalog_v )./configure 6)make 7)make install

59 SnortALog (opcje) cat logs.file |./snortalog.pl -r –c –o raport.html –g jpg – report Opcje: -x Mode GUI -r Resolve IP adresses -w Consult Whois DataBase (Slow down process) -c Resolve domains (Very slow process) -i Inverse the result -n Specify a number of line in the result -l Specify an output language -o Specify a HTML or PDF file -g Graph output format -file Specify an input alert log file... Raporty: -report -src -dport -hour_attack...

60 Przykłady wizualizacji (1) SnortALog raport

61 Agenda Trochę teorii Analiza i korelacja danych Snort – standard de facto Wizualizacje i raporty Aplikacje zarządzająceAplikacje zarządzające Podsumowanie

62 Aplikacje zarządzające SnortCenter IDS Policy Manager (Windows) /onlinehelp/idspm.htm IDScenter (Windows) HenWen (Mac OS X)

63 SnortCenter System zarządzania Agent (sensor agent)

64 SnortCenter (1)

65 SnortCenter(2)

66 SnortCenter(3)

67 SnortCenter(4)

68 IDS Policy Manager (1)

69 IDS Policy Manager(2)

70 IDS Policy Manager(3)

71 IDS Policy Manager(4)

72 IDS Policy Manager(5)

73 IDS Policy Manager(6)

74 IDS Policy Manager(7)

75 IDS Policy Manager(8)

76 IDS Policy Manager(9)

77 IDS Policy Manager(10)

78 Podsumowanie IDS a IPS – wykrywanie i zapobieganie... Analiza danych – czyli jak wykryć, że się coś dzieje, kiedy się dzieje... 3x Snort –Snort=dobry i darmowy... –Snort=wiele aplikacji... –Snort=wciąż rozwijany... Wizualizacja=SnortALog Zarządzanie=IDS Policy Manager| |[SnortCenter] Maciej Miłostan, cs.put.poznan.pl DZIĘKUJĘ ZA UWAGĘ © Maciej Miłostan

79 Bonus: Testowanie IDS-ów


Pobierz ppt "Systemy detekcji intruzów Maciej Miłostan. Agenda Trochę teorii –Co to jest IDS? –Włamania i ataki –Systemy IDS a IPS –Specyfikacja CIDF i tym podobne."

Podobne prezentacje


Reklamy Google