az informatikai biztonsÁg speciÁlis...
TRANSCRIPT
AZ INFORMATIKAI BIZTONSÁGSPECIÁLIS TÉMAKÖREI
Hungarian Cyber Security Package
BehatolásvédelemHálózatbiztonsági események érzékelése
Szekeres BalázsKabai András
Tartalom
• Hálózatbiztonsági incidensek• Hálózatbiztonsági incidensek érzékelése• IDS, IPS• Egyéb érzékelési lehetőségek• Esettanulmány/bemutató
Mi az a CERT?
CERT: Computer Emergency Response Team, azaz számítástechnikai vészhelyzetekre reagáló csoport
CSIRT: Computer Security Incident Response Team, azaz számítástechnikai biztonsági incidensekre reagáló csoport
Constituency: képviseltek köre, támogatottak köre
Biztonsági Incidens: bármely esemény, melynek negatív hatása van az informatikai rendszer biztonságára (bizalmasság, sértetlenség, rendelkezésre állás)
Biztonsági incidensek
• Computer fingerprinting: Információ gyűjtés a cél számítógépről
Technikák: probing, scanning, DNS interrogation, Ping.
• Malicious code (kártékony kód): A cél host kompromittálása külső, kártékony kód futtatásával
Technikák: „Tudatos” vagy „tudatlan” kód futtatás
• Denial of Service: A szabvány kommunikációtól eltérő kommunikáció hatására a cél host, illetve szolgáltatás túlterhelése
Technikák: pl. SYN Flood (SYN-SYN/ACK-ACK)
Biztonsági incidensek
• Jogosulatlan hozzáférés információhoz: Jogosulatlan hozzáférési kísérletek a tárolt adatokhoz
Technikák: Lokális vagy távoli hozzáférési kísérletek a jogosultsági rendszer megkerülésével
• Jogosulatlan hozzáférés adatátvitelhez: Jogosulatlan adatátvitel eltérítés vagy megosztás a hálózaton vagy a számítógépben.
Technikák: Hálózati csomagok elkapása, eltérítése
Biztonsági incidensek
• Jogosulatlan információ módosítás: Az elektronikusan tárolt adatok jogosulatlan módosítása
Technikák: Lokális vagy távoli adat módosítás vagy létrehozás
• Jogosulatlan hozzáférés kommunikációs eszközökhöz: Jogosulatlan kommunikációs eszköz használat
Technikák: A kommunikációs eszköz beállításainak jogosulatlan módosítása
Biztonsági incidensek
• Felderítés – computer fingerprinting, social engineering
• Sérülékenység keresés – penetration teszt
• Kihasználás – kártékony kód futtatás• További támadások – zombi hálózat• Nyomok eltüntetése – logok törlése
Védekezés
• Mélységben tagolt védelem!!!!– Megfelelőség kezelés (mit védünk? szabályzatok)– Kockázat kezelés (mitől védjük?)– Identitás kezelés (felhasználó, eszköz, szoftver, stb.)– Jogosultság kezelés (felhasználó, eszköz, szoftver,
stb.)– Felelősség kezelés (ki, mit és miért csinál?)– Rendelkezésre állás kezelés (erőforrások?)– Konfiguráció kezelés (sérülékenységek, frissítések?)– Incidens kezelés (mit csinálunk, ha baj van?)
Felelősség kezelés
• Hálózatok, hostok, eszközök monitorozása → betartásra kerülnek-e a megfogalmazott szabályok
• Valós idejű és visszamenőleges elemzések:– Napló (log) elemzés: hálózat, alkalmazás, stb.– Elérés ellenőrzés: hálózati elemek, alkalmazások, stb.– Forgalom ellenőrzés: adatforgalom mennyiségi és
minőségi ellenőrzése– Host alapú behatolás érzékelés: adott host
sértetlensége, fájl, rendszer változások– Hálózati behatolás érzékelés: támadások, gyanús
viselkedések, rendellenes tevékenységek azonosítása
Felelősség kezelés fontossága
• Nagyobb rálátás az IT komponensekre: különböző monitoring technikák egyidejű alkalmazása
• Események nyomon követése: incidens céljának, idejének, forrásának, okának és felelősének meghatározása
• Jogi kérdések: bizonyító erejű adatok gyűjtése• Teljesség biztosítása: az összegyűjtött információk
teljesek, az eseménysor objektívan megítélhető• Pontosság: az egyes eseményekről minden adat
rendelkezésre áll (dátum, idő, adattartalom, stb.)• Ellenőrizhetőség: az információk változatlanok a rögzítés
óta (hash, auditálható folyamat, stb.)
Implementációs kérdések
• Mit monitorozzunk?– Szervezet céljainak és biztonsági folyamatainak
meghatározása– Alapvető üzleti/szervezeti folyamatok meghatározása– Kulcs folyamatokhoz kapcsolódó kritikus IT és humán
erőforrások meghatározása• Milyen technológiával monitorozzunk?
– Valós idejű vagy utólagos elemzések az egyes erőforrásokhoz
Implementációs kihívások
• Log formátum változatossága: különböző eszközök különböző formátumban naplóznak
• Log fájlok biztonsága: a támadó ne tudja megváltoztatni• Erőforrások rendelkezésre állása: a logoláshoz, az
elemzéshez és a bizonyításhoz (IT és humán)• Korrelációk felismerése: különböző érzékelt jelek
összetartozásának felismerése• Incidens kezelési folyamatok támogatása: megfelelő
mennyiségű és minőségű információ biztosítása a válaszintézkedések megtételéhez
Hálózati monitoring típusok
• Rendelkezésre állás monitorozása: adott IT erőforrások rendelkezésre állásának folyamatos vizsgálata (pl. webszerver)
• Forgalom monitorozása: adott ponton áthaladó csomagok vizsgálata (mennyiségi és típus vizsgálat)
• Sávszélesség vizsgálat: sávszélesség kihasználtsága és anomáliák keresése
• Protokoll és alkalmazás vizsgálat: a forgalom monitorozás egy fajtája, a csomagok adattartalmát is vizsgáljuk
• Behatolás detektálás (IDS) és behatolás védelem (IPS)
IDS – IPS
• Miért nem elég a tűzfal?– Önmagában nem alkalmas vírusszűrésre– Protokollnak megfelelő forgalmat átengedi
• Miért nem elég a vírusvédelem?– Már ismert vírusokat ismeri fel– Nem minden támadás vírus
• Behatolás érzékelő eszköz is szükséges!– Nem helyettük, hanem együtt!!!!
IDS – IPS feladata
• IDS feladata: Minden észlelt hálózati aktivitásról eldönteni, hogy legális vagy nem, azaz detektálni a támadásokat
• IPS feladata: az érzékelt támadásokra válasz automatikus válasz intézkedéseket tenni (pl. port blokkolás)
• Általános felépítés:– Érzékelő (sensor): gyűjti a hálózati/host adatokat– Elemző (analyzer): értékeli a gyűjtött adatokat
• Signature alapú: támadási mintákhoz hasonlít• Anomália alapú: normális forgalomtól eltérő forgalomra
jelez– Riasztási mechanizmus: jelzés és/vagy beavatkozás
IDS – IPS bekötési módok
• In-line (sorba kötés): átfolyik rajta minden adat, ekkor IPS-ként blokkolni is tud bizonyos forgalmakat.
IDS – IPS bekötési módok
• SPAN (tükrözés): a monitoring portra kitükrözik a switch adott portjainak ki és bemenő kommunikációját, azaz az eszköz másolatot kap belőle (IDS mód)
IDS – IPS bekötési módok
• TAP (fizikai duplikálás): eszköz segítségével a teljes hálózati forgalmat egy adott pontban fizikailag duplikálunk és ezt a jelet kapja meg az eszköz monitoring portja (IDS mód)
Signature alapú elemző
• Legelterjedtebb és kiforrottabb megoldások• Támadási adatbázis a támadási mintákra (rendszeres
frissítés ajánlott!!)• A vizsgált forgalmat a támadási adatbázissal
összehasonlítja és dönt• Minél nagyobb a támadási adatbázis, annál erőforrás
igényesebb – csökkenthető a nem releváns támadási minták kivételével
• Nem ismeri fel az adatbázisban még nem szereplő támadásokat
• Fals pozitív jelzések
Anomália alapú elemző
• Anomaly based vagy behavior based• A „normális” viselkedéstől jelentősen eltérő aktivitások
vizsgálata• Kérdés, hogy mi minősül jelentősen eltérő aktivitásnak?!• Mesterséges intelligencia alapúak• A fals pozitív jelzéseknek nagy a kockázata
Host alapú IDS
• Feladata egy adott host elleni támadások érzékelése• A host-on keletkezett logok elemzésével következtetnek a
támadásra
Host alapú IDS
• Előnye: egyszerű és olcsó• Hátrányai:
– Csak a host-ot elért, loggolt eseményt jelzi– Az IDS agent a védett host erőforrásait használja, azaz
a nem megfelelően méretezett hostok működési paramétereit rontja
Hálózati IDS
• A figyelt hálózati szegmens forgalmát figyeli és ott keres támadásra utaló jeleket
Hálózati IDS
• Előnyei:– A hálózati szegmensen található összes eszköz
védelme megoldható– A támadás már a hálózatba való belépésekor
érzékelhető és elhárítható (IPS mód)– A támadó számára az érzékelő eszköz nem vagy
nehezen észlelhető
Hálózati IDS
• Hátrányai:– Nagy sebességű hálózatok védelme nagyon erőforrás
igényes– Az eszközök drágák, több eszköz alkalmazása
jelentősen növeli a védekezés költségeit– Csak a titkosítás nélküli forgalmat képesek monitorozni– A swithcelt hálózatoknál a switch monitoring portjára
kitükrözött forgalmat tudjuk kezelni, ami gátolja az IPS módot
A fals pozitív probléma
• Normális hálózati aktivitás, ami mégis kártékonynak lett minősítve:– Legális applikációk, amik nem teljes mértékben
felelnek meg az RFC-knek– Olyan legális applikációk aktivitása, amit nem ismer az
IDS– A signature-k (minták) túl általános megfogalmazása– Egyes aktivitások egyes hálózatokon normálisak, míg
másokon kártékonyak (pl. IRC)• Egy rosszul kezelt IDS rövid idő alatt rengeteg fals pozitív
jelzést generálhat.• Minden fals pozitív jelzés kiszűrése erőforrás igényes
folyamat
A fals negatív probléma
• Fals negatív jelzés minden olyan jelzés, aminek meg kellett volna történnie, de mégsem történt meg:– Signature alapú IDS-nél az új támadás minták frissítési
ideje– A támadó a támadás közben változtathatja a támadási
módot, összezavarva az IDS-t– Azonos sérülékenységet kihasználó 2 támadásból csak
az egyikről rendelkezik mintával– Anomália vagy host alapú IDS-nél a tanítás során már
kompromittált fájlt vagy aktivitást normálisnak értékeli– Túlterhelt IDS eldobhat csomagokat vizsgálat nélkül
• A fals negatív hamis biztonság érzetet kelt, illetve átenged támadásokat
Mit kell tenni az IDS alkalmazása után?
• IDS monitoring és válaszadási policy: hogyan és ki monitoroz, milyen a válaszadási folyamat
• Incidens kezelés: ki és mit tesz incidens esetén• Forensic analízis és adat megőrzés: mit kezdünk a
keletkező bizonyítékokkal• Jelentések: ki, kinek és mit jelent? Mikor kell külső
partnert bevonni (pl. CERT, rendőrség, stb.)• Az IDS csak egy eszköz a támadások felismerésére, a
megoldást a hatékony szervezeti válaszadási folyamatok biztosítják
Egyéb érzékelési lehetőségek
• Céljuk: – a hálózatbiztonsági események érzékelése általában –
nem egy szervezet védelmében (pl. mintagyűjtés, botnet felderítés, 0-day események, stb.)
– Korai figyelmeztetések generálása• Példák:
– Honeypot– Honeynet
Mi az a Honeypot
• Mézescsupor, csali• A kérdés: Hogyan tudunk védekezni az ellenség ellen, ha
nem tudjuk ki az ellenség• A cél: A számítógép és hálózat támadások motivációit,
taktikáit és eszközeit megismerni, azaz Megismerni az ellenségünket (Know Your Enemy!)
• A honeypot egy olyan IT erőforrás, aminek értéke a jogosulatlan vagy tiltott kihasználásában rejlik.
• Nincs általánosan elfogadott definíció, ez a megfogalmazás a honepots levelező listán született a résztvevők általános egyetértésével
A honeypot értéke
• Sokan alkalmazzák úgy, hogy nem tudják miért: „Because It Is Cool!!!”
• A honeypot nem produktív eszköz, azaz minden bemenő vagy kijövő forgalom próbálkozás, támadás vagy kompromittálás
• Elsődleges értéke az információ (kártékony kódok, kártékony site-ok, kártékony IP címek, botnetek azonosítása, stb.)
• Másodlagos értéke az azonosítás és a válaszadás lehet
Előnyök – hátrányok
Előnyök:• Nagy mennyiségű, kis
méretű adatok• Kevés fals pozitív• Működik titkosított és IPv6
környezetben is• Egyszerű koncepció, kicsi
erőforrás igény• Új támadások és fals
negatívok gyűjtése
Hátrányok:• Korlátozott nézőpont• Nehézkes az üzembe
állítása (nincs sok „dobozos” megoldás)
• Kockázatok• Jogi kérdések
Szerver honeypotok
• Argos http://www.few.vu.nl/argos/
• Honeyd http://www.honeyd.org
• Nepenthes http://nepenthes.mwcollect.org
• HIHAT http://hihat.sourceforge.net
• HoneyBow http://honeybow.mwcollect.org
• HoneyTrap http://honeytrap.mwcollect.org
• Spam traps http://www.projecthoneypot.org
• Proxy http://www.webappsec.org/projects/honeypots
• Wireless http://www.raulsiles.com/downloads/HoneySpot_20071217.pdf
• HTTPSinkholing
Kliens honeypotok
• Capture-HPC https://projects.honeynet.org/capture-hpc
• PhoneyC http://svn.mwcollect.org/browser/phoneyc/trunk
• CaffeineMonkey http://www.secureworks.com/research/tools/caffeinemonkey.html
• SpyBye http://code.google.com/p/spybye
• Spidermonkey http://www.honeyspider.org/
• Honeyc https://projects.honeynet.org/honeyc
• HoneyClient http://www.honeyclient.org/trac
Infrastruktúra honeypotok
• Honeynets:
– Honeywall https://projects.honeynet.org/honeywall/
– Surf-IDS http://ids.surfnet.nl
• Global Distributed Honeynets: http://www.honeynet.org/speaking/
– Honeystick http://www.ukhoneynet.org/honeystick.htm
– Honeyspider http://www.honeyspider.org/
– Honeymole http://www.honeynet.org.pt/index.php/HoneyMole
Minden más
• HoneyJax http://www.websense.com/securitylabs/images/alerts/honeyjax_defcon2007.pdf
• Google Honeypots http://ghh.sourceforge.net/
• HoneyTokens http://en.wikipedia.org/wiki/Honeytoken
Honeynet
• Mi az a honeynet:– „high-interaction” honeypot, amit arra terveztek, hogy
részletes információkat kapjon el– Az információknak szervezetenként különböző értékei
vannak– Olyan architektúra, ami élő rendszerekből áll, nem
szoftverekből vagy termékekből– Minden forgalom, ami eléri vagy ami elhagyja biztosan
kártékony
Honeynet
• Hogyan működik a honeynet:– Magas szinten kontrollált hálózat, ahol minden bejövő
és kimenő csomag monitorozva van, azaz elfogva és analizálva:
• Adat kontroll• Adat elfogás• Adat analízis
– www.honeynet.org/papers/honeynet
Honeynet architektúra
Honeynet adat elfogás és analízis
• Cél több szinten elfogni az összes aktivitást:– Hálózati aktivitás– Applikáció aktivitás– Rendszer aktivitás
• Az adat analízis a legkritikusabb része a honeyneteknek, szükséges egy metodológia az információk összes elemének elemzéséhez. (pl. The honeynet projekt – Walleye)
Globális honeynet – megosztott rendszer
Globális honeynet
• A megfelelő üzemeltetéshez kiterjedt erőforrások szükségesek (megfelelő együttműködések)
• Megjelentek már a honeynet detektáló és anti-honeynet technológiák
• A személyes adatok védelme egy nagyon fontos probléma lehet
Honeypotot alkalmazó szervezetek
• Üzleti alkalmazások: Symantec, Websense, Sophos, Google, McAfee, stb.
• CERT-ek és kutatók:– Brazilian Distributed Honeypot projekt http://www.honeypots-
alliance.org.br/
– SURFnet http://ids.surfnet.nl
– Honeynet Project http://www.honeynet.org
– Shadowserver http://www.shadowserver.org
– Artemis Project http://www.honeynet.org.cn/index.php?lang=en
– Mwcollect http://www.mwcollect.org
– ARAKIS http://arakis.cert.pl
– Leurre.com http://www.leurre.com
• ISP-k és kormányzatok: ????
Köszönjük a figyelmet!www.cert-hungary.hu