Systémy pro detekci neoprávněného průniku

Petr PanáčekE-mail: ppanacek@anect.com

04/19/23 strana 2

Obsah prezentace

Technologický úvod IDS systémy firmy Cisco Systems Dohled a správa IDS systémů Doporučený design

04/19/23 strana 3

Technologický úvod

Intrusion Detection – schopnost odhalení neoprávněné, nesprávné nebo anomální aktivity (v počítačové síti nebo na serverech)

Intrusion Detection System - systém pro detekci neoprávněného průniku, kombinace HW, SW vybavení vhodně zakomponovaná do počítačové sítě

Signature – signatura, vzorek jehož výskyt (splnění množiny podmínek) indikuje pokus o neoprávněný průnik

04/19/23 strana 4

Dělení systémů pro detekci

Podle detekční metody Podle určení

Host-based IDS – systém pro servery Network-based IDS – systém pro síťové

prostředí

04/19/23 strana 5

Host-based IDS senzory

softwarové produkty monitoring

systémová volání, logy, chybová hlášení zamknutí důležitých souborů

ochrana před útoky: na OS a aplikace, Buffer Overflow na Web server, na HTTPS Chrání přístup ke zdrojům serveru před tím než

může dojít k neautorizované aktivitě chrání jen servery a koncové počítače není podpora pro všechny OS – problém v

heterogenních sítích

04/19/23 strana 6

Network-based IDS senzory

specializovaný HW (senzor) síťové rozhraní v promiskuitním módu monitoring všech paketů ochrana celé sítě (segmentu) přenosová rychlost monitorovacího

rozhraní může být omezením nemožnost detekovat útoky v

kryptovaném provozu

04/19/23 strana 7

--

Network-Based

Host-Based

++

• Je schopen ověřit zda byl útok úspěšný či nikoliv

• Funkčnost není ovlivněna propustností nebo použitím enkrypce

• Je schopen zabránit útoku

• Je schopen ověřit zda byl útok úspěšný či nikoliv

• Funkčnost není ovlivněna propustností nebo použitím enkrypce

• Je schopen zabránit útoku

• Využívá zdroje serveru

• Možnost použití závisí na OS

• Rozšiřitelnost - vyžaduje instalaci jednoho agenta/server

• Využívá zdroje serveru

• Možnost použití závisí na OS

• Rozšiřitelnost - vyžaduje instalaci jednoho agenta/server

• Chrání všechny koncové stanice na monitorované síti

• Neovlivňuje výkon koncových stanic/serverů

• Je schopen detekovat DoS útoky

• Chrání všechny koncové stanice na monitorované síti

• Neovlivňuje výkon koncových stanic/serverů

• Je schopen detekovat DoS útoky

• Náročnější implementace v prostředí přepínané LAN

• Monitoring >1Gb/s zatím problémem

• Obecně neumí proaktivně zastavit útok

• Náročnější implementace v prostředí přepínané LAN

• Monitoring >1Gb/s zatím problémem

• Obecně neumí proaktivně zastavit útok

Oba produkty se vzájemně doplňujíOba produkty se vzájemně doplňují

Porovnání Host vs Network based IDS

04/19/23 strana 8

Dělení systémů pro detekci

podle detekční metody Detekce vzoru Stavová detekce vzoru Dekódování protokolu Heuristická analýza Detekce anomálií

04/19/23 strana 9

Detekce vzoru

Porovnávání datových paketů s databází signatur známých útoků+ jednoduchá

+ přesná

+ použitelná pro všechny protokoly

- problematická detekce nových(modifikovaných) útoků

- vysoká míra chybné pozitivní detekce

- většinou inspekce jen v rámci jediného paketu – snadné vyhnutí se detekci

04/19/23 strana 10

Stavová detekce vzoru

Porovnávání datových toků s databází signatur známých útoků+ jednoduchá modifikace předchozí metody

+ přesná detekce

+ použitelná pro všechny protokoly

+ je obtížnější se detekci vyhnout

- problematická detekce nových(modifikovaných) útoků

- vysoká míra chybné pozitivní detekce

04/19/23 strana 11

Dekódování protokolu

Detekce nesprávného chování protokolu (kontrola vůči RFC)+ minimalizace míry chybné pozitivní detekce

+ přesná detekce

+ dobrá detekce modifikovaných útoků

+ spolehlivá reakce na porušení pravidel protokolu

- vysoká míra chybné pozitivní detekce – RFC může být nejednoznačné

- složitější a delší vývoj

04/19/23 strana 12

Heuristická analýza

Detekce založena na vyhodnocování (statistickém) typu datového provozu+ některé druhy podezřelých aktivit lze

detekovat jen touto metodou

- algoritmus často vyžaduje ladění – nastavování prahových hodnot, aby se zabránilo vysoké míře chybné pozitivní detekce

04/19/23 strana 13

Analýza anomálií

Detekce datového provozu, který se vymyká „normálu“

Využití metod umělé inteligence+ lze detekovat nové neznámé útoky

+ není potřeba vyvíjet nové signatury

- neurčitý popis výsledku detekce

- často příliš citlivá metoda

- úspěšnost závisí na prostředí, ve kterém se systém učí co je „normální“

V praxi se zatím příliš nevyužívá

04/19/23 strana 14

Odezva na detekované útoky

Odpovědí IDS na detekovaný útok může (ale nutně nemusí) být: reset podezřelého TCP spojení zahájení filtrace nebezpečného provozu na

směrovači nebo firewallu záznam podezřelé aktivity do logu

IDS nejen monitoruje, ale i aktivně chrání prvky počítačové sítě a koncové stanice před důsledky případných útoků

04/19/23 strana 15

Solution SetSolution Set

RouterSensorRouterSensor

HostSensorHostSensor

FirewallSensorFirewallSensor

MgmtMgmt

NetworkSensorNetworkSensor

IDS na platformách Cisco

42104210 42354235 42504250

Standard EditionStandard Edition Web Server EditionWeb Server Edition

17001700 26002600 36003600 7xxx7xxx

Secure Command Line

Secure Command Line

Web UIEmbedded Mgr

Web UIEmbedded Mgr

CiscoWorks VMSCiscoWorks VMS

SwitchSensorSwitchSensor

Catalyst 6500IDS Module

Catalyst 6500IDS Module

37003700

501501 506E506E 515E515E 525525 535535

04/19/23 strana 16

Vícevrstvý model ochrany sítě

4. Linie: Cisco Host IDS Detekuje a chrání před útoky na OS, služby, aplikace Inspekce datového provozu po dekrypci

1. Linie: IOS router Filtry, omezování šířky pásma blokování nechtěných komunikací

2. Linie: PIX Firewall provádí stavovou inspekci inspekci příkazů

3. Linie: Cisco Network IDS Monitoruje povolené komunikace identifikuje podezřelé, útočné aktivity na OSI vrstvách 3-7 může resetovat, blokovat nebo zahazovat podezřelé pakety/komunikace

04/19/23 strana 17

Implementace a provoz IDS

zvolit IDS kombinující více metod detekce

kombinace ochrany serverů a celých síťových segmentů

pravidelné vyhodnocování informací o útocích

pravidelné ladění systému, úpravy prahových hodnot

doplňování databáze signatur

04/19/23 strana 18

Závěr

Systémy pro detekci (a prevenci) neoprávněného průniku jsou vhodným doplňkem k firewallové ochraně sítě

Kombinací síťových IDS a IDS pro servery dosáhneme vysokého stupně ochrany před neoprávněnými aktivitami

Správná funkčnost IDS musí být podpořena pravidelným vyhodnocování získaných informací a aktualizací systému