Program pro detekci síťových útoků Marek Lapák
Úvod Rozmach počítačových sítí – Internetu Stále více činností se uskutečňuje prostřednictvím počítačů Cílem je vytvořit systém splňující následující kritéria Jednoduchá obsluha Vysoký výkon Přesnost Odolnost Rozšiřitelnost
Detekce IDS – Intrusion Detection System Podle okamžiku vyhodnocování dělíme na Pracující v reálném čase Pracující v časových intervalech Podle principu detekce rozlišujeme Systémy založené na statistických anomáliích Systémy založené na principu porovnávání signatur Podle umístnění se jedná o Síťové systémy detekce průniku Systémy detekce průniku do hostitelských systémů
Návrh IDS Síťový systém detekce průniku pracující v reálném čase na principu porovnávání signatur Skládá se z 6 modulů Odchytávání Zpracování Kontrola platnosti Bezkontextová analýza Kontextová analýza Logování
Implementace OS Linux, programovací jazyk C Jak získat vysoký výkon Omezit vstupy – BPF filtr, seznam IP adres, zahazování neplatných paketů Optimalizovat algoritmy – odchytávání paketů, porovnávání signatur Vhodnou reprezentací dat – seznam pravidel Jak získat odolnost – důkladná kontrola Přesnost výsledků, rozšiřitelnost – dána typem IDS Jednoduchá obsluha – konfigurace pomocí textových souborů
Měření Porovnání při FTP přenosu Porovnání při různé síťové aktivitě Můj IDSSnort 1,1 MB6%6%13% 2 MB9%18% 3,2 MB18%37% Typ aktivityMůj IDSSnort Normální provoz8%8%27% ping –f100%45% Skenování nmap39%61% Skenování netcat8%8%29%
Závěr Vlastnosti Protokoly – TCP, UDP, ICMP Detekční schopnosti Přesnost výsledků Odolnost proti útoku Omezení Umístnění v síti Šifrovaný / fragmentovaný provoz Výkon HW Možná vylepšení Sestavování TCP proudu, SQL, protiakce …
Program pro detekci síťových útoků Marek Lapák