distributed intrusion detection system
DESCRIPTION
Distributed Intrusion Detection System. Keio University Takefuji Lab. SecurityTeam INAS Kensuke Naoe. Agenda. 侵入検知システムの抱える問題と必要になる機能と機構 無線 LAN のセキュリティの問題 今後の方向性. 侵入検知システムの抱える課題. 未知の手法による攻撃の検出 学習、プロファイル生成 ネットワークモニタリングの限界 暗号化トラフィック、スイッチハブ、 HIDS の見直し NIDS の回避と攻撃 - PowerPoint PPT PresentationTRANSCRIPT
Distributed Intrusion Detection System
Keio University
Takefuji Lab.
SecurityTeam INAS Kensuke Naoe
Agenda
侵入検知システムの抱える問題と必要になる機能と機構無線 LAN のセキュリティの問題今後の方向性
侵入検知システムの抱える課題
未知の手法による攻撃の検出学習、プロファイル生成
ネットワークモニタリングの限界暗号化トラフィック、スイッチハブ、 HIDS の見直し
NIDS の回避と攻撃Insertion と Evasion 、 fragmentation 、 DoS 攻撃(負荷分散、分散 IDS )
監視ネットワークセグメント内に無線 LAN が存在する場合
分散環境により適した侵入検知システムの開発
必要になってくる機構大規模な環境で集中管理を必要としない計算機が落とされても IDS としての機能を失わない学習・蓄積する機構
究極は PC レベルを単位とする分散環境での侵入検知システム
分散 IDS とはもともと単一計算機で動作する IDS を拡張幾つかのシステムにまたがった侵入を認識するために、監視する複数の計算機からログ情報を収集し、それらを解析して不正侵入検知を行なうNIDS とは焦点が違い、ネットワークの監視ではなくホストや OS である
IDS の監視対象ネットワークベース IDS はそのセグメント内を監視ホストベース IDS はそのホスト自身の挙動、ホストの行なう通信の監視
そのセグメントに無線アクセスポイントが導入されるとどうなるのか無線 LANも監視対象に置くべきであろうか
無線 LAN とは有線 LAN ケーブルを電波に置き換えた1998 年ごろに IEEE802.11 が規格化されてから本格化当時は1 M ~2 Mbps 程度
無線 LAN の現状 、普及通信機器の速度向上ノート PC 、 PDA などのモバイル端末の普及IEEE802.11b 規格 >11Mbps,2.4GHz値段もそこそこ企業の約半数が無線 LAN を導入家庭向け無線 LAN 製品も続々ノート PC に標準搭載街中でも無線 LAN が使える「ホットスポット」
喫茶店などの店内や駅構内など
無線ネットワークにおけるセキュリティ
LAN からは有線ネットワークと同じ問題解決のアプローチを有線 LAN と同じにすることは大変危険
有線のクラッキングの場合、物理的に近づく必要があった無線のクラッキングの場合、アクセスポイントの通信可能範囲に入るだけジャミングなど無線ならではの不正アクセス手法
無線 LAN 独特の問題隠れ端末問題
インフラストラクチャーモードアドホックモード
無線 LAN の危険性外部から無線 LAN に侵入される
通信内容の第 3者への漏洩
電波による交信が可能な範囲なら屋外からでも可能
無線 LAN のクライアントから放射される電波を傍受、又は無線 LAN に接続して通信内容をモニターすることで内容が第 3者に漏洩する危険性がある
じゃ、破ってみようESSID
NetStumbler
WEPAirSnort
NetStumbler
WEP を破るツールAirSnort
2001.8.2Using the Fluhrer, Mantin, and Shamir Attack to Break WEP
• 128bit の鍵長で暗号化した通信をおよそ 2 時間
WEP解析機能のある AirSnortAirSnort
問題点ESSID 基本的に垂れ流しの IDWEP キーの解析 暗号化方式に脆弱性ありデフォルト状態での AP運用実はかなり多いWEP なし、 ESSID:ANY
無線ネットワークセグメントは無線 LAN のセキュリティで管理するのか、 IDS の監視対象とするか
対象外?対象に入れるか別のアプローチで対処
作成しようとする DIDS とは? (大雑把ですが)
検出部分のセンサと制御部分のマネジャを一括。ログ、シグネチャ、プロファイルなどの検出に必要な DB も分散配置攻撃手法や不正アクセスのパターンを蓄積、学習。新しい攻撃は定義ファイルなどで配布可能異常検出のアルゴリズムも採択することで誤警報率を抑制シグネチャと攻撃手法、不正行為とプロファイルの比較を高速化(メタデータを生成)
嬉しいことは?管理する計算機での処理は減る
ネットワーク全体としてみたときに連携力があり堅牢になる
PCユーザで管理可能パーソナル FW に取って代わる?
ユーザが多ければ多いほどデータが取れるユーザレベルで定義ファイルを作成、 UP免疫がつく、個としては弱いが全体としては強い
感染、攻撃されてしまった計算機をネットワークから切り離せる >切り離してもシステムとして機能する
イメージ図
実装の問題点Hikeshi
ネットワーク監視部分はオープンソースの IDS がある
Snort 、 Pakemon
メタデータの生成、やり取りが問題?RDF でシグネチャやプロファイルデータを記述RDF Query Lanugages 、 RDF Query Specification
• RDF で書かれたメタデータを知識ベースとして捕らえ知識表現や推論の技法を用いて検索を行なう手法