Systemy detekcji intruzów

Transkrypt

1 Systmy dtkcji intruzó Macij Miłostan ański Cntrum Srkomputroo-Sicio, Zspół Bzpiczństa

2 r C a, r o 20 o Agnda Trochę torii Co to jst IDS? Włamania i ataki Systmy IDS a IPS Spcyfikacja CIDF i tym podobn Analiza i korlacja danych Snort d facto standard Wizualizacj i raporty Aplikacj zarządzając dsumoaniański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa.photography-musum.com

3 r C a, r o 20 o Co to jst IDS? Hmm, tu się dzij coś nidobrgo!!! ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

4 r C a, r o 20 o Ida a praktyka Włamani, próba łamania,... czy zykła aktyność Mtody łamań Luki systmach Aktualność rguł systmu IDS Rozciągnięci skncji działań czasi, rozdzilni na il ssji Ataki typu DRDoS ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

5 r C a, r o 20 o Włamania i ataki Włamani: ciąg spółzalżnych działań zagrożni narusia bzpiczństa zasobó niautoryzoany dostęp do danj domny komputroj lub sicioj Włamani jst skutkim ataku ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

6 r C a, r o 20 o Modl ataku Mtoda Inicjator ataku ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa Cl

7 r C a, r o 20 o Rodzaj atakó (1) Atakujący Cl ataku Cl Cl Atakujący Atakujący Węzł pośrdniczący Węzł pośrdniczący Cl ataku ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa Cl

8 r C a, r o 20 o Rodzaj atakó (2) Atakujący Atakujący Atakujący Cl ataku Atakujący Cl ataku Atakujący Cl ataku Atakujący ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa Cl ataku

9 r C a, r o 20 o Rodzaj atakó (3) ATAKUJĄCY Węzł zarządzający Węzł dmona Węzł dmona Węzł dmona Węzł zarządzający Węzł dmona Węzł dmona Węzł dmona Węzł docloy (cl ataku) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa Węzł zarządzający Węzł dmona Węzł dmona Węzł dmona

10 r C a, r o 20 o Anatomia ataku Czynności przygotoacz Wykonani ataku ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa Zińci ataku

11 r C a, r o 20 o dział systmó IDS (1) Sicio (ntork basd) i stanoisko (host basd) Wdług faz ataku ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

12 r C a, r o 20 o dział systmó IDS (2) Systmy ykryając narusi rguł bzpiczństa Sicio skanry bzpiczństa Klasyc systmy ykryania łamań Systmy ykryając ślady przproadzonych atakó Wabiki, pułapki intrnto (hony pots) Analizatory plikó dzinnikó Systmy kontroli spójności ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

13 r C a, r o 20 o Systmy IDS a IPS O, X się próbuj łamać... Drop all src= X O, X się łamał... IDS IPS ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

14 r C a, r o 20 o Lokalizacja systmu IDS SPAN (sitch port analyzr) HUB Taps&TopLayr sitchs Routr IDS Sitch Routr ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa IDS Sitch Hub

15 r C a, r o 20 o Taps ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

16 r C a, r o 20 o Wydajn architktury IDS Statful Intrusion Dtction for HighSpd Ntorks, Krugl Ch., Valur F., Vigna G. Kmmrr R., 2002 ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

17 r C a, r o 20 o Przgląd produktó Systmy IDS sici ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

18 r C a, r o 20 o Common Intrusion Dtction Framork GIDOs Evnt(E-)Box ETHERNET Snsor, Storag, Data (D-)box Passiv Protocol Analyzr Analysis(A-)Box Pattrn matching, Signatur analysis Countrmasurs(C-)Box (i. clos connction) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

19 r C a, r o 20 o Przykład S-yrażń i GIDO (Dlt (Contxt (HostNam 'first.xampl.com') (Tim '16:40:32 Jun ') ) (Initiator (UsrNam 'jo') ) (Sourc (FilNam '/tc/passd') ) ) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

20 r C a, r o 20 o Agnda Trochę torii Analiza i korlacja danych Snort d facto standard Wizualizacj i raporty Aplikacj zarządzając dsumoani ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

21 r C a, r o 20 o Analiza danych = problmy Jak korloać informacj? Jakich mtod można użyć? Jak poiązać połącia inicjoan ilu ssjach, z różnych adrsó, źródłoych na rozmait adrsy doclo? Jak zidntyfikoać intruza? ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

22 r C a, r o 20 o Eksploracja danych MINDS (Minsota) du/rsarch/minds/ PROJECT IDS (Columbia): cs.columbia.du/ids/ SilkRoad inc. paprs/html/ids/n1.html ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

23 r C a, r o 20 o Mtody (1) Groani (Clustring) Odkryani Asocjacji (Association) Analiza statystyca (Statistical Analysis) Gnracja rguł (Rul Abduction) Odkryani poiązań lub gnracja drz dcyzyjnych (Link or Tr Abduction) Analiza odchylń statystycych (Dviation Analysis) Uci sici nuronoych (Nural Abduction) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

24 r C a, r o 20 o Mtody (2) Anomaly dtction algorithms (np. MINDS) Modls of normal bhavior and intrusion bhavior (np. PROJECT IDS) Myriad htrognous distributd ntork snsors cybrspac situational aarnss (patrz artykuł na stronach SilkRoad Inc.) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

25 r C a, r o 20 o Agnda Trochę torii Analiza i korlacja danych Snort standard d facto Wizualizacj i raporty Aplikacj zarządzając dsumoani ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

26 r C a, r o 20 o Snort d facto standard... Martin Rosch Rok 1998 Lightight intrusion dtction systm Najczęścij stosoany systm dtkcji intruzó na śici Havyight champion ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

27 r C a, r o 20 o Śiat Snort-a ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

28 r C a, r o 20 o Sourcfir Firma komrcyjna utorzona przz Martin Rosch-a 2001 roku Ofruj produkty komrcyjn opart o Snort-a i pochodn Roziązania dla sici Gbit-oych. Przjęta przz Chckint-a ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

29 r C a, r o 20 o Snort ymagania i instalacja Pntium, 64MB RAM, 1GB HDD, 10Mbps Ethrnt NIC That's about th bar minimum.. M. Rosch-czric Libpcap, tcpdump, iptabls (Snort inlin), libnt GD, Prl, Adodb, MySQL, PHP ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

30 r C a, r o 20 o Snort instalacja dstaoa: 1) biramy źródła: gt 2) linux# tar zxvf snort tar.gz 3) cd snort )./configur 5) mak 6) mak install 7) biramy rguły (lub piszmy łasn ) : Bardzij złożon instalacj: ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

31 r C a, r o 20 o Snort tryby pracy Sniffr Mod Packt Loggr Mod Ntork Intrusion Dtction Mod Inlin Mod ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

32 r C a, r o 20 o Sniffr Mod Nagłóki IP i TCP/UDP/ICMP./snort v Nagłóki i zaartość pakitó./snort vd Nagłóki IP, zaartość pakitó, nagłóki łącza danych./snort -vd ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

33 r C a, r o 20 o Packt Loggr Logoani pakitó./snort -dv -l./log Hirarchia katalogó a sić lokalna./snort -dv -l./log -h /24 Logoani formaci binarnym./snort -l./log -b Playback./snort -dv -r packt.log Filtr BPF./snort -dvr packt.log icmp ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

34 r C a, r o 20 o Barnyard Umożliia fktyny zapis na dysku odciąża głóny procs Snort-a Monitoruj binarn pliki logó Snort-a i konrtuj j do różnych formató Trzy tryby prztarzania: on shot Ciągły(continual) Ciągły z punktami kontrolnymi (continual /chckpoint) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

35 r C a, r o 20 o Ntork Intrusion Dtction Mod Tryb dtkcji prób łamań./snort -dv -l./log -h /24 -c snort.conf Przłącik v poinin zostać pominięty przy zastosoaniach produkcyjnych (groźba utraty pakitó) Logoani nagłókó arsty łącza danych tż jst zbędn./snort -d -l./log -h /24 -c snort.conf Alrt: -A non full fast unsock cmg consol Logoani do syslog-a: -s./snort -c snort.conf -A fast -h /24 Koljność rguł: -o najpir Pass, a potm Alrt ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

36 r C a, r o 20 o Inlin Mod Iptabls (libipq) zamiast libpcap Wymaga LibNt ( Trzy typy rguł drop rjct sdrop (bz logoania) Koljność rguł ->activation->dynamic->drop->sdrop->rjct->alrt->pass->log z opcją o: ->activation->dynamic->pass->drop->sdrop-> rjct->alrt->log Zmiana zaartości pakitu, STREAM4 ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

37 r C a, r o 20 o Konfiguracja Snort-a Snort.conf Adrsy sici Tryb uruchominia Katalog z rgułami Nazy plikó z rgułami Katalog logoania Tryb logoania ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

38 Sniffing Packt Dcodr Prprocssor (Plug-ins) Dtction Engin (Plug-ins) Output Stag (Plug-ins) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa Data Flo Packt Stram r C a, r o 20 o Architktura Snort-a Alrts/Logs

39 r C a, r o 20 o Moduł dtkcji alrt tcp Sip: Dip: Dp: 80 (flags: A+; contnt: foo ;) (flags: A+; contnt: bar ;) (flags: A+; contnt: baz ;) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

40 r C a, r o 20 o Systm rguł alrt tcp! /24 any -> /24 any (flags: SF; msg: SYN-FIN Scan ;) Di skcj rguły nagłók rguły (rul hadr): alrt tcp! /24 any -> /24 any opcj rguły (rul options): (flags: SF; msg: SYN-FIN Scan ;) Nagłóki i opcj mogą być łączon doolnych kombinacjach ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

41 r C a, r o 20 o Nagłók rguły Typ Adrs rt Kirunk Aktyoani/dynamic ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

42 r C a, r o 20 o Nagłók rguły-typy alrt gnruj alrt przy użyciu ybranj mtody i zapisuj pakit logu log zapisuj pakit pliku logu pass ignoruj pakit drop pooduj odrzucni przz iptabls pakitu i zapisani go logu rjct pooduj odrzucni (drop) przz iptabls pakitu i zapisani go logu, a activat ygnroani następni ysyła TCP alrtu i aktyacja rguły rst, albo ICMP port dynamicj niosiągalny (port dynamic rguła pozostaj unrachabl) niaktyna do momntu aktyacji przz inną rgułę sdrop pooduj, ż iptabls odrzuca pakit po czym działa jakański rguła Cntrum (drop), al go ni loguj Srkomputroo Sicio, log Zpół Bzpiczństa

43 r C a, r o 20 o Opcj rguł (1) mta-data Opcj dostarczając informacji o rgul, al ni mając acia trakci dtkcji payload Opcj poodując spradzani zaartości pakitó - mogą być nętri poiązan (intrrlatd) non-payload Opcj spradzając nagłóki pakitó i tym podobn (non-payload data) post-dtction (uruchamian po odpalniu rul spcific triggrs ański Cntrum Srkomputroo Sicio, rguły) Zpół Bzpiczństa

44 r C a, r o 20 o Opcj rguł(2) IP TTL IP ID Fragmnt siz TCP Flags TCP Ack numbr TCP Sq numbr Payload siz Contnt Contnt offst Contnt dpth Sssion rcording ICMP typ ICMP cod Altrnat log fils ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

45 r C a, r o 20 o Przykłado rguły (1) alrt tcp![ /24, /24] any -> \ [ /24, /24] 111 (contnt: " a5 "; \ msg: mountd accss";) log udp"xtrnal any any -> /24 1:1024 log udp log tcp any any -> /24 :6000 log tcp any :1024 -> /24 500: log tcp any any -> /24!6000:6010 (loguj szystko oprócz Xindos) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

46 r C a, r o 20 o Przykłado rguły (2) activat tcp!$home_net any -> $HOME_NET 143 (flags: PA; \ contnt: " E8C0FFFFFF /bin"; activats: 1; \ msg: "IMAP buffr ovrflo!";) dynamic tcp!$home_net any -> $HOME_NET 143 \ (activatd_by: 1; count: 50;) alrt tcp any any <> /24 80 (contnt: "bad.htm"; \ msg: "Not for childrn!"; ract: block, msg;) Opcja ract: block - clos connction and snd th visibl notic arn - snd th visibl, arning notic (ill b availabl soon) alrt tcp any any -> ański Cntrum Srkomputroo any 23 (flags:s,12; Sicio, Zpół Bzpiczństa

47 r C a, r o 20 o Przykłado rguły (3) Standalon Thrsholds Limit logging to 1 vnt pr 60 sconds: thrshold gn_id 1, sig_id 1851, typ limit, track by_src, \ count 1, sconds 60 Limit logging to vry 3rd vnt: thrshold gn_id 1, sig_id 1852, typ thrshold, track by_src, \ count 3, sconds 60 Limit logging to just 1 vnt pr 60 sconds, but only if xcd 30 vnts in 60 sconds: thrshold gn_id 1, sig_id 1853, typ ański Cntrum both, track by_src, Srkomputroo \ Sicio, Zpół Bzpiczństa

48 r C a, r o 20 o Przykłado rguły(4) Rul Thrsholds This rul logs th rst vnt of this SID vry 60 sconds. alrt tcp $xtrnal_nt any -> $http_srvrs $http_ports \ (msg:"b-misc robots.txt accss"; flo:to_srvr, stablishd; \ uricontnt:"/robots.txt"; nocas; rfrnc:nssus,10302; \ classtyp:b-application-activity; thrshold: typ limit, track \ by_src, count 1, sconds 60 ; sid: ; rv:1;) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

49 r C a, r o 20 o Przykłado alrty (1) [**] [1:2517:13] IMAP T Clint_Hllo ovrflo attmpt [**] [Classification: Attmptd Administrator Privilg Gain] [Priority: 1] 11/17-13:48: :90:F5:29:32:3F -> 0:4:96:1B:BF:C0 typ:0x800 ln:0x : > :993 TCP TTL:64 TOS:0x0 ID:33172 IpLn:20 DgmLn:104 DF ***AP*** Sq: 0xBF224CAF TcpLn: 32 Ack: 0x3952E434 Win: 0xF8E0 TCP Options (3) => NOP NOP TS: [Xrf => => => ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

50 r C a, r o 20 o Przykłado alrty (2) Więcj alrtó... ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

51 r C a, r o 20 o Agnda Trochę torii Analiza i korlacja danych Snort standard d facto Wizualizacj i raporty Aplikacj zarządzając dsumoani ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

52 r C a, r o 20 o Narzędzia do izualizacji SnortALog ACID snortacid.html BASE SnortRport Inn ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

53 r C a, r o 20 o SnortALog (1) Torzy raporty plikach HTML, PDF i tkstoych Gnruj grafiki formaci GIF, PNG lub JPG przypadku raportó HTML CLI (Command Lin Intrfac) i GUI (Graphic Usr Intrfac) Współpracuj z logami Syslog-a, obsługuj alrty Snort-a trybach Fast i Full ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

54 r C a, r o 20 o SnortALog (2) Works ith all Snort prprocssor (spp_stram4, spp_portscan, spp_dcodr, flo, flo-portscan...) Has th possibility to link th Snort signatur to th b rfrnc attack dscription Works ith "-I" Snort option to spcify an intrfac and add rport Works no ith "-" Snort option (Display th scond layr hadr info) Uss a spcific plugin for gnrating your on rfrnc Snort ruls ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

55 r C a, r o 20 o SnortALog (3) Can spcify ordr (ascnding or dscnding) Can spcify th numbr of occurrncs to vi Can rsolv IP addrsss and domains Add colors for th bst visibility ssibility to do filtring (if you only ant a spcific IP sourc or high svrity snort logs) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

56 r C a, r o 20 o SnortALog (4) Works ith Chckint F-1 (4.1 and NG) in syslog and f logxport command Works no ith Chckint F-1 SmartDfns Works ith Ntfiltr and IPFiltr syslog logs Works ith Ntfiltr and PFiltr syslog logs Works no ith syslog CISCO PIX logs (Thanks to Edin) Works on Windos box (basic option: no graph) Works ith Lucnt Brick Firall logs ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

57 r C a, r o 20 o SnortALog instalacja 1) Spradzamy, czy mamy ymagan bibliotki grafika: gnracji raportó PDF: htmldoc sourc.tar.gz HTML-HTMLDoc-0.07.tar.gz GUI : GD-1.19.tar.gz do gnracji ykrsó formaci Gif GDGraph-1.39.tar.gz GDTxtUtil-0.85.tar.gz Moduły i kod Tk dla Prl/Tk. Tk tar.gz prl-tk i386.rpm baza Whois: ański Cntrum Nt-W hois-ip-0.50.tar.gz Srkomputroo Sicio, Zpół Bzpiczństa

58 r C a, r o 20 o SnortALog instalacja(1) 1) biramy źródła: gt snortalog/snortalog_v2.4.0.tgz 2) linux# tar zxvf snortalog_v2.4.0.tgz 3) cd snortalog_v )./configur 5) mak 6) mak install ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

59 r C a, r o 20 o SnortALog (opcj) cat logs.fil./ snortalog.pl -r c o raport.html g jpg rport Opcj: -x Mod GUI -r Rsolv IP adrsss - Consult Whois DataBas (Slo don procss) -c Rsolv domains (Vry slo procss) -i Invrs th rsult -n Spcify a numbr of lin ański Cntrum in th rsult -l Spcify an output languag -o Spcify a HTML or PDF fil -g Graph output format -fil Spcify an input alrt log fil... Raporty: Srkomputroo Sicio, Zpół Bzpiczństa -rport -src -dport -hour_attack...

60 r C a, r o 20 o Przykłady izualizacji (1) SnortALog raport ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

61 r C a, r o 20 o Agnda Trochę torii Analiza i korlacja danych Snort standard d facto Wizualizacj i raporty Aplikacj zarządzając dsumoani ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

62 r C a, r o 20 o Aplikacj zarządzając SnortCntr IDS licy Managr (Windos) onlinhlp/idspm.htm IDScntr (Windos) HnWn (Mac OS X) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

63 r C a, r o 20 o SnortCntr Systm zarządzania Agnt (snsor agnt) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

64 r C a, r o 20 o SnortCntr (1) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

65 r C a, r o 20 o SnortCntr (2) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

66 r C a, r o 20 o SnortCntr (3) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

67 r C a, r o 20 o SnortCntr (4) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

68 r C a, r o 20 o IDS licy Managr (1) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

69 r C a, r o 20 o IDS licy Managr(2) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

70 r C a, r o 20 o IDS licy Managr(3) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

71 r C a, r o 20 o IDS licy Managr(4) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

72 r C a, r o 20 o IDS licy Managr(5) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

73 r C a, r o 20 o IDS licy Managr(6) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

74 r C a, r o 20 o IDS licy Managr(7) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

75 r C a, r o 20 o IDS licy Managr(8) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

76 r C a, r o 20 o IDS licy Managr(9) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

77 r C a, r o 20 o IDS licy Managr(10) ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa

78 r C a, r o 20 o dsumoani IDS a IPS ykryani i zapobigani... Analiza danych czyli jak ykryć, ż się coś dzij, kidy się dzij... 3x Snort Macij Miłostan, -mail: Snort=dobry i darmoy... Snort=il aplikacji... Snort=ciąż rozijany... Wizualizacja=SnortALog Zarządzani=IDS licy Managr [SnortCntr] DZIĘKUJĘ ZA UWAGĘ ański Cntrum Srkomputroo Sicio, Zpół Bzpiczństa Macij Miłostan