Systémy pro detekci neoprávněného průniku Petr Panáček
strana 2 Obsah prezentace Technologický úvod IDS systémy firmy Cisco Systems Dohled a správa IDS systémů Doporučený design
strana 3 Technologický úvod Intrusion Detection – schopnost odhalení neoprávněné, nesprávné nebo anomální aktivity (v počítačové síti nebo na serverech) Intrusion Detection System - systém pro detekci neoprávněného průniku, kombinace HW, SW vybavení vhodně zakomponovaná do počítačové sítě Signature – signatura, vzorek jehož výskyt (splnění množiny podmínek) indikuje pokus o neoprávněný průnik
strana 4 Dělení systémů pro detekci Podle detekční metody Podle určení Host-based IDS – systém pro servery Network-based IDS – systém pro síťové prostředí
strana 5 Host-based IDS senzory softwarové produkty monitoring systémová volání, logy, chybová hlášení zamknutí důležitých souborů ochrana před útoky: na OS a aplikace, Buffer Overflow na Web server, na HTTPS Chrání přístup ke zdrojům serveru před tím než může dojít k neautorizované aktivitě chrání jen servery a koncové počítače není podpora pro všechny OS – problém v heterogenních sítích
strana 6 Network-based IDS senzory specializovaný HW (senzor) síťové rozhraní v promiskuitním módu monitoring všech paketů ochrana celé sítě (segmentu) přenosová rychlost monitorovacího rozhraní může být omezením nemožnost detekovat útoky v kryptovaném provozu
strana Network- Based Host- Based + + Je schopen ověřit zda byl útok úspěšný či nikoliv Funkčnost není ovlivněna propustností nebo použitím enkrypce Je schopen zabránit útoku Je schopen ověřit zda byl útok úspěšný či nikoliv Funkčnost není ovlivněna propustností nebo použitím enkrypce Je schopen zabránit útoku Využívá zdroje serveru Možnost použití závisí na OS Rozšiřitelnost - vyžaduje instalaci jednoho agenta/server Využívá zdroje serveru Možnost použití závisí na OS Rozšiřitelnost - vyžaduje instalaci jednoho agenta/server Chrání všechny koncové stanice na monitorované síti Neovlivňuje výkon koncových stanic/serverů Je schopen detekovat DoS útoky Chrání všechny koncové stanice na monitorované síti Neovlivňuje výkon koncových stanic/serverů Je schopen detekovat DoS útoky Náročnější implementace v prostředí přepínané LAN Monitoring >1Gb/s zatím problémem Obecně neumí proaktivně zastavit útok Náročnější implementace v prostředí přepínané LAN Monitoring >1Gb/s zatím problémem Obecně neumí proaktivně zastavit útok Oba produkty se vzájemně doplňují Porovnání Host vs Network based IDS
strana 8 Dělení systémů pro detekci podle detekční metody Detekce vzoru Stavová detekce vzoru Dekódování protokolu Heuristická analýza Detekce anomálií
strana 9 Detekce vzoru Porovnávání datových paketů s databází signatur známých útoků +jednoduchá +přesná +použitelná pro všechny protokoly - problematická detekce nových(modifikovaných) útoků -vysoká míra chybné pozitivní detekce -většinou inspekce jen v rámci jediného paketu – snadné vyhnutí se detekci
strana 10 Stavová detekce vzoru Porovnávání datových toků s databází signatur známých útoků +jednoduchá modifikace předchozí metody +přesná detekce +použitelná pro všechny protokoly + je obtížnější se detekci vyhnout -problematická detekce nových(modifikovaných) útoků -vysoká míra chybné pozitivní detekce
strana 11 Dekódování protokolu Detekce nesprávného chování protokolu (kontrola vůči RFC) +minimalizace míry chybné pozitivní detekce +přesná detekce +dobrá detekce modifikovaných útoků + spolehlivá reakce na porušení pravidel protokolu -vysoká míra chybné pozitivní detekce – RFC může být nejednoznačné -složitější a delší vývoj
strana 12 Heuristická analýza Detekce založena na vyhodnocování (statistickém) typu datového provozu +některé druhy podezřelých aktivit lze detekovat jen touto metodou -algoritmus často vyžaduje ladění – nastavování prahových hodnot, aby se zabránilo vysoké míře chybné pozitivní detekce
strana 13 Analýza anomálií Detekce datového provozu, který se vymyká „normálu“ Využití metod umělé inteligence +lze detekovat nové neznámé útoky +není potřeba vyvíjet nové signatury -neurčitý popis výsledku detekce -často příliš citlivá metoda -úspěšnost závisí na prostředí, ve kterém se systém učí co je „normální“ V praxi se zatím příliš nevyužívá
strana 14 Odezva na detekované útoky Odpovědí IDS na detekovaný útok může (ale nutně nemusí) být: reset podezřelého TCP spojení zahájení filtrace nebezpečného provozu na směrovači nebo firewallu záznam podezřelé aktivity do logu IDS nejen monitoruje, ale i aktivně chrání prvky počítačové sítě a koncové stanice před důsledky případných útoků
strana 15 Solution Set Router Sensor Router Sensor Host Sensor Host Sensor Firewall Sensor Firewall Sensor Mgmt Network Sensor Network Sensor IDS na platformách Cisco Standard Edition Web Server Edition xxx Secure Command Line Secure Command Line Web UI Embedded Mgr Web UI Embedded Mgr CiscoWorks VMS Switch Sensor Switch Sensor Catalyst 6500 IDS Module Catalyst 6500 IDS Module E 515E
strana 16 Vícevrstvý model ochrany sítě 4. Linie: Cisco Host IDS Detekuje a chrání před útoky na OS, služby, aplikace Inspekce datového provozu po dekrypci 1. Linie: IOS router Filtry, omezování šířky pásma blokování nechtěných komunikací 2. Linie: PIX Firewall provádí stavovou inspekci inspekci příkazů 3. Linie: Cisco Network IDS Monitoruje povolené komunikace identifikuje podezřelé, útočné aktivity na OSI vrstvách 3-7 může resetovat, blokovat nebo zahazovat podezřelé pakety/komunikace
strana 17 Implementace a provoz IDS zvolit IDS kombinující více metod detekce kombinace ochrany serverů a celých síťových segmentů pravidelné vyhodnocování informací o útocích pravidelné ladění systému, úpravy prahových hodnot doplňování databáze signatur
strana 18 Závěr Systémy pro detekci (a prevenci) neoprávněného průniku jsou vhodným doplňkem k firewallové ochraně sítě Kombinací síťových IDS a IDS pro servery dosáhneme vysokého stupně ochrany před neoprávněnými aktivitami Správná funkčnost IDS musí být podpořena pravidelným vyhodnocování získaných informací a aktualizací systému