Bezpieczeństwo Systemów Sieciowych

Transkrypt

1 Bezpieczeństwo Systemów Sieciowych dr inż. Łukasz Sturgulewski, dr inż. Andrzej Frączyk, BSS - v2013 1

2 Co dalej? IDS, IPS Application Firewall (zagrożenia w warstwie aplikacji głównie web w tym także DNS oraz PKI) TOR, Sandbox, Honeypot Backup BSS - v2013 2

3 Zagrożenia BSS - v2013 3

4 IDS/IPS IDS (ang. Intrusion Detection System) IPS (ang. Intrusion Prevention System) BSS - v2013 4

5 zero-day BSS - v2013 5

6 zero-day Nowy wirus (robak, trojan) wcześniej wolna propagacja, dziś błyskawiczna. Nowa dziura w sofcie (usługach, bazach, itp. itd.): odkrycie, użycie (wcześniejszy rekonesans pozwala stwierdzić z czego korzysta nasz cel), załatanie. BSS - v2013 6

7 IDS Przed IDS admin siedzi i przegląda ruch (logi), dokonuje analizy i podejmuje decyzje. System IDS pasywne monitorowanie ruchu w sieci. Tryb offline i inline. BSS - v2013 7

8 IDS - offline Przekierowanie kopii ruchu do sensora, analiza ruchu. Porównanie ruchu z sygnaturami. Wysłanie alarmu do stacji MC. BSS - v2013 8

9 IDS - offline Zalety: Brak wpływu na wydajność sieci, urządzeń. Wady: Szkodliwy ruch dotrze do celu (można połączyć IDS z urządzeniami sieciowymi aby zapewnić reakcję). BSS - v2013 9

10 IDS - inline Właściwy ruch przez niego przechodzi, nie kopia. Nie blokuje szkodliwego ruchu. Wysyła alerty do stacji MC. BSS - v

11 IPS - inline Ruch przepływa przez sensor. Porównanie ruchu z sygnaturami. Wysłanie alarmu do stacji MC. Blokowanie ruchu. BSS - v

12 IPS - inline Zalety: Blokowanie szkodliwego ruchu. Wady: Negatywny wpływ na wydajność. Gubione pakiety jeśli źle skonfigurowany. False positive BSS - v

13 IDS, IPS Sensor IDS lub IPS może być jednym z urządzeń: Router z systemem IOS IPS Dedykowane urządzenie IDS lub IPS Moduł dodatkowy zainstalowany w: firewall, router, switch. BSS - v

14 IDS, IPS IDS, IPS używa sygnatur aby wykrywać wzorce nadużyć w ruchu sieciowym. Sygnatura jest zbiorem zasad, które IDS, IPS wykorzystuje do wykrycia zagrożenia. Sygnatury pozwalają na detekcję szerokiego zakresu ataków, nieprawidłowości. IDS, IPS wykrywają: atomic signature patterns (single-packet), composite signature patterns (multipacket). BSS - v

15 IDS vs IPS IDS: Brak wpływu na sieć: opóźnienia, zmienność opóźnienia, uszkodzenie sensora, przeciążenie sensora. IPS: Zatrzymanie szkodliwego ruchu (od pierwszego pakietu); bezpośredni wpływ, regulacja ruchu. IDS: Zatrzymanie szkodliwego ruchu wymaga współpracy z innymi urządzeniami. IPS: Wpływa na sieć: opóźnienia, zmienność opóźnienia, uszkodzenie sensora, przeciążenie sensora. BSS - v

16 IDS vs IPS IDS i IPS: wymagają starannego dostrojenia: Sygnatury Dozwolone poziomy Reakcja (podejmowane działania) IPS inline szybka inspekcja IDS offline dokładna, szczegółowa inspekcja BSS - v

17 Network Intrusion Prevention System (NIPS) BSS - v

18 Host Intrusion Prevention System (HIPS) HIPS skanuje logi, pliki systemowe, zasoby w tym rejestr i procesy. Zaleta: możliwość monitorowania systemu operacyjnego, procesów, plików. Łączy analizę behawioralną z sygnaturami oraz funkcjami antywirusa, firewall sieciowego i aplikacyjnego. BSS - v

19 Składniki HIPS HIPS składa się z dwóch komponentów: Management Center serwer; Do zarządzania dla admina. Security Agent hosty; Agent działa używając zbioru polityk zdefiniowanych indywidualnie dla niego. BSS - v

20 Działanie HIPS BSS - v

21 Przykład HIPS ESET NOD32 BSS - v

22 HIPS analiza Sygnatury Poziomy Zachowanie BSS - v

23 HIPS Zalety: Wynik ataku (powodzenie, porażka) znane jest natychmiast. Nie troszczy się o typowe ataki L3 zajmuje się tym OS. Dostęp do ruchu nieszyfrowanego. Wady: Wpływ na wydajność stacji roboczej. HIPS nie dostarcza kompletnego obrazu sieci. HIPS powinien być uruchomiony na wszystkich hostach. Wymagane wsparcie dla szerokiej gamy systemów operacyjnych. BSS - v

24 HIPS vs NIPS Raczej jako uzupełnienie a nie konkurencja. BSS - v

25 Network-Based Intrusion Detection Sensory są umieszczane w wybranych punktach sieci aby w nich monitorować / weryfikować ruch pod kątem bezpieczeństwa. BSS - v

26 IPS Ochrona IPS: IOS na urządzeniu IPS jest okrojony do niezbędnych usług/procesów (dodatkowo chronionych). Cel: wydajność i bezpieczeństwo (hardening). Elementy typowego IPS: Network Interface Card (NIC) Procesor Pamięć operacyjna im bardziej rozbudowane śledzenie tym większe zapotrzebowanie. BSS - v

27 Network-Based Intrusion Detection Network IPS zapewnia bezpieczeństwo sieci w czasie rzeczywistym: wzrost liczby zasobów (węzłów) nie ma krytycznego znaczenia (także kosztów), nowy sensor konieczny tylko w przypadku dużego wzrostu ruchu w chronionym segmencie sieci. Dodanie nowej sieci wymusza dodanie nowego sensora łatwa procedura. BSS - v

28 Network-Based Intrusion Detection Routery ze zintegrowanymi usługami: Bez dodatkowych modułów (tylko wersja systemu operacyjnego) problem pamięci i wydajności. Dodatkowe moduły np. IPS Advanced Integration Module (AIM) lub Network Module Enhanced (IPS NME). Dedykowane urządzenie IPS np. IPS 4200 seria (najwyższa wydajność, najwięcej rozpoznawanych zagrożeń, najszerszy zakres metod inwigilacji ruchu). Firewall: Bez dodatkowych modułów problem pamięci i wydajności. Dodatkowe moduły np. Inspection and Prevention Security Services Module (ASA AIP-SSM). Przełącznik sieciowy L3, modularny np. Catalyst 6500 z modułem Intrusion Detection System Services Module (IDSM-2). BSS - v

29 Cisco IDS Network Module BSS - v

30 Cisco IDSM-2 BSS - v

31 Cisco IPS 4240 BSS - v

32 Cisco BSS - v

33 IPS co wybrać? Wiele czynników może decydować o wyborze IPS: wolumen ruchu sieciowego, topologia sieci, budżet, wykwalifikowani pracownicy. BSS - v

34 HIPS vs Network IPS Zalety NetIPS: Koszty (efektywne wykorzystanie). Przezroczysty dla urządzeń i usług. Niezależność od OS. Możliwość śledzenia ruchu na poziomie najniższych warstw modelu OSI. Wady NetIPS: Wpływ na wydajność sieci (opóźnienia). Problem inwigilacji ruchu szyfrowanego. Brak wiedzy czy atak zakończył się sukcesem. BSS - v

35 HIPS vs Network IPS Zalety HIPS: Reguły dobrane do węzła (hosta, serwera, inne) Inwigilacja ruchu szyfrowanego. Inwigilacja na poziomie aplikacji. Wady HIPS: Zależność od OS. Niższe warstwy modelu OSI nie są widoczne. Host jest widoczny dla intruza. BSS - v

36 IPS Aby zatrzymać szkodliwy ruch sieć musi go zidentyfikować. Najczęściej ruch ten różni się od ruchu prawidłowego. Sygnatury i poziomy pozwalają identyfikować robaki, wirusy, exploity, anomalie w protokołach, szkodliwy ruch, ataki DoS, itp. itd... Sygnatury koncepcyjnie są zbliżone do plików typu virus.dat z definicjami wirusów - wykorzystywane przez antywirusy. BSS - v

37 IDS, IPS Gdy sensor znajdzie dopasowanie ruchu do sygnatury podejmuje akcje takie jak: logowanie zdarzeń, wysyłanie alarmów do aplikacji/stacji zarządzającej. Sygnatury posiadają trzy główne atrybuty: Type Trigger (alarm) Action BSS - v

38 Klasyfikacja sygnatur IDS, IPS BSS - v

39 Atomic proste sygnatury BSS - v

40 Compound (stateful) złożone sygnatury Sekwencja operacji rozrzucona na wiele węzłów w określonym oknie czasowym. Wysokie zapotrzebowanie na pamięć. event horizon okno czasowe. initial signature component pierwszy pakiet, podejrzany o bycie elementem złożonego ataku. BSS - v

41 IPS charakterystyka sygnatur Jeśli nowe zagrożenia zostaną zidentyfikowane, nowe sygnatury muszą być opracowane i załadowane do IPS. Plik sygnatur zawiera paczkę sygnatur stanowiącą update dla systemu IPS. BSS - v

42 IPS sygnatura (LAND atak) IOS-S556-CLI.pkg (linia 0160) BSS - v

43 Grupowanie sygnatur Aby skanowanie sygnatur było bardziej efektywne system IOS opiera się na micro-engines (SME), które kategoryzują sygnatury w grupy. Kiedy IDS, IPS jest włączony, załadowany jest SME. Do sprawnego działania SME wymaga skompilowanych sygnatur. SME wyciąga określone wartości z pakietów i przekazuje do REE (Regular Expression Engine). REE potrafi jednoczasowo wyszukiwać wiele wzorców. Liczba dostępnych SME zależy od platformy. Cisco IOS Release 12.4(6)T definiuje 5 micro-engines: Atomic weryfikacja pojedynczych pakietów np. ICMP, UDP. Service weryfikacja usług. String weryfikacja określonych wyrażeń regularnych w celu wykrycia intruzów. Multi-string - weryfikacja elastyczna wielu wyrażeń oraz sygnatur Trend Labs. Other różne, inne sygnatury. BSS - v

44 Grupowanie sygnatur BSS - v

45 Sygnatury - Update Mniej istotne publikowane tygodniowo. Istotne publikowane natychmiast. Przykład: plik IOS-S361-CLI.pkg zawiera wszystkie sygnatury z pliku IOS-S360-CLI.pkg plus nowe sygnatury minus sygnatury nieaktualne. Pobieranie ręczne i automatyczne. BSS - v

46 Bezpieczeństwo systemu sieciowego IDS, Firewall router, dedykowane urządzenia, Virtual Private Network (VPN), Network Admission Control (NAC), IPS. BSS - v

47 Alarmy sygnatur Alarm sygnatury = alarm, trigger Jakie czujki mamy w systemie? W domu mamy czujki ruchu, czujki zbicia szyby, itp. itd. IPS ( full wypas ) ma: Pattern-based detection Anomaly-based detection Policy-based detection Honey pot-based detection Dekodowanie protokołów bardziej szczegółowa inwigilacja, weryfikacja zgodności ze standardami. BSS - v

48 Pattern-based detection Pattern-based detection = signature-based detection, jest najprostszym mechanizmem, wyszukiwanie specyficznych, predefiniowanych wzorców. Wykrywanie w: single packet (atomic) sequence of packets (composite). Wzorce mogą być łączone z określonymi usługami bądź portami. Nie zawsze to się jednak sprawdza konie trojańskie, które później atakują inne wewnętrzne zasoby, backdoor. BSS - v

49 Anomaly-based Detection Anomaly-based detection = profile-based detection Prawidłowy profil użytkownika jest tworzony poprzez monitorowanie jego aktywności w sieci w określonym czasie. Profil także może uwzględniać specyfikacje takie jak RFC. Po określeniu profilu (normalna aktywność), sygnatura wyzwala akcję jeśli badany ruch nie zawiera się w profilu (zwykłe reguły, sieci neuronowe, rozpoznawanie obrazów). Problemy: A co gdy user zmieni zachowanie? A co z atakami w trakcie uczenia? Trudność w łączeniu anomalii z konkretnym atakiem wymagana dokładna, dodatkowa analiza. Atak może być zaklasyfikowany jako normalny ruch. Metody klasyfikacji: zwykłe reguły, sieci neuronowe, rozpoznawanie obrazów. BSS - v

50 Anomaly-Based Detection BSS - v

51 Policy-based Detection Zbliżone do pattern-based detection, admin definiuje prawidłowe zachowania na podstawie zgromadzonych danych historycznych o aktywności pracowników. BSS - v

52 Honey pot-based Detection Honey pot-based detection - używa atrapy, przynęty serwera w celu: odciągnięcia uwagi od ważnych zasobów, dokładnej analizy (śledzenie) działań intruza. Rzadziej używany w sieciach produkcyjnych. Używane głównie w celach badawczych np. producenci softu z zakresu bezpieczeństwa. BSS - v

53 IPS typy alarmów BSS - v

54 IDS / IPS Detection Identifies malicious attacks on network and host resources. Prevention Stops the detected attack from executing. Reaction Immunizes the system from future attacks from a malicious source. BSS - v

55 IPS poziom ważności alarmu Administrator może wybrać z kilku poziomów ważności dla zagrożeń, sygnatur: High (atak, DoS) Informational (niebezpośredni atak) Low (nietypowy ruch w sieci, nie prowadzący do bezpośredniego ataku) Medium (nietypowy ruch w sieci, prowadzący do bezpośredniego ataku) Dobranie poziomów do sieci aby ograniczać false positive. BSS - v

56 IPS odpowiedź systemu (typy alarmów) Kiedy wykryte zostanie zagrożenie możliwych jest kilka działań: Generowanie alarmu (alarm, alarm + pakiet). Logowanie aktywności (atakujący, atakowany, obaj). Odrzucanie, zapobieganie aktywności (atakujący, połączenie, pakiet). Resetowanie połączenia TCP (RST). Blokowanie przyszłej aktywności. Zezwolenie na aktywność. Działania zależą głównie od sygnatury. BSS - v

57 IPS odpowiedź systemu Network Management Console 4 Alarm 2 1 Attack Drop Packet 3 Reset Connection BSS - v

58 Generowanie alarmów Monitorowanie alarmów jest bardzo ważne, pozwala na wykrycie i zrozumienie tego co stało się w systemie. Intruz może zalać system fałszywymi alarmami aby zaciemnić, odciągnąć uwagę od właściwego ataku. Systemy IPS najczęściej udostępniają dwa tryby alarmów, ostrzeżeń: Atomic alerts generowany zawsze gdy sygnatura zostanie wyzwolona. Czasem użyteczne (natychmiast widać co i jak często występowało), czasem kłopotliwa w analizie (gdy dużo zdarzeń). Summary alert pojedynczy alarm zwierający wiele wystąpień tej samej sygnatury z tego samego źródła na ten sam port. Ogranicza liczbę alarmów, rozjaśnia obrazów, nie obciąża sieci i systemów. BSS - v

59 Logowanie aktywności Czasem brak pewności co do szkodliwości ruchu, w takiej sytuacji warto logować podejrzaną aktywność w celu dalszej (offline) analizy. Admin posiada/dodał sygnaturę wyszukującą ciąg znaków /etc/password z akcją logowanie. Gdy ciąg się pojawi cały ruch z tego adresu przez określony czas (albo liczbę bajtów) jest logowany. Co umożliwia późniejszą, dokładną analizą danych co dalej robił podejrzany. BSS - v

60 Odrzucanie, zapobieganie aktywności Kluczowym działaniem IPS jest odrzucanie (drop) pakietów zapobieganie aktywności. Pozwala zatrzymać atak zanim wyrządzi on szkody w systemie. Nie tylko jeden pakiet, ale cały strumień, albo cały ruch od intruza. Możliwa współpraca z innymi urządzeniami w celu blokowania ruchu. BSS - v

61 Resetowanie połączenia TCP Typowe działanie mające na celu zakończenie połączenia TCP poprzez wygenerowanie pakietu TCP z ustawioną flagą RST. Często stosuje się łącznie deny + RST. BSS - v

62 Blokowanie przyszłej aktywności Blokowanie przyszłej aktywności np. poprzez wpływ na ACL na urządzeniach sieciowych. ACL może zatrzymać ruch od intruza bez angażowania zasobów systemu IPS. Po określonym okresie czasu IPS usuwa ACL. Dodatkowo możliwość ochrony całej sieci zagrożenie wykryte w jednym segmencie = ACL dla całej sieci. BSS - v

63 Zezwolenie na aktywność Akcja wymagana gdy admin chce zdefiniować wyjątki dla wybranych sygnatur. BSS - v

64 IPS zarządzanie i monitorowanie Monitorowanie incydentów bezpieczeństwa pozwala adminowi: zidentyfikować atak, określić naruszenia polityki bezpieczeństwa. BSS - v

65 IPS zarządzanie i monitorowanie Management Method: Sensory mogą być zarządzane indywidualnie albo centralnie. Event correlation: Proces korelowania ataków i innych zdarzeń, które wydarzyły się jednocześnie w różnych punktach sieci. (scentralizowany system + NTP + analiza danych). Security Staff: Wykwalifikowana kadra jest konieczna aby prawidłowo analizować i oceniać skuteczność IPS także dostrajać i optymalizować. Incident Response Plan: Skutecznie zaatakowany system powinien być przywrócony do stanu sprzed ataku. BSS - v

66 IPS zarządzanie i monitorowanie Konfiguracja: CLI GUI Zarządzanie lokalne (przykłady dla Cisco): Cisco Router and Security Device Manager (SDM) Cisco IPS Device Manager (IDM) Zarządzanie scentralizowane (przykłady dla Cisco): Cisco IDS Event Viewer (IEV) Cisco Security Manager (CSM) Cisco Security Monitoring, Analysis, and Response System (MARS) BSS - v

67 IPS logowanie zdarzeń Po wykryciu ataku IOS IPS może wysłać wiadomość w formacie Syslog lub Secure Device Event Exchange (SDEE). %IPS-4-SIGNATURE:Sig:1107 Subsig:0 Sev:2 RFC1918 address [ :137 -> :137] BSS - v

68 IPS - podsumowanie Aktualizacja sygnatur: ręczna automatyczna BSS - v

69 Configuration Tasks on Cisco IOS Install Cisco IOS IPS on the router. Specify location of the Signature Definition File (SDF). Create an IPS rule. Attach a policy to a signature (Optional). Apply IPS rule at an interface. Configure Logging using Syslog or SDEE. Verify the configuration. BSS - v

70 Specify Location of SDF Router (config)# ip ips sdf location url (Optional) Specifies the location in which the router will load the SDF, attack-drop.sdf. If this command is not issued, the router will load the default, built-in signatures. Router(config)# ip ips sdf location disk2:attack-drop.sdf BSS - v

71 Create an IPS Rule Router (config)# ip ips name ips-name [list acl] Creates an IPS rule. Router(config)# ip ips name MYIPS Creates an IPS rule named MYIPS that will be applied to an interface. BSS - v

72 Attach a policy to a given signature (optional) Router (config)# ip ips signature signature-id [:sub-signature-id] {delete disable list acl-list} Attaches a policy to a given signature. Router(config)# ip ips signature 1000 disable Disables signature 1000 in the signature definition file. BSS - v

73 Apply an IPS Rule at an Interface Router (config-if)# ip ips ips-name {in out} Applies an IPS rule at an interface. Router(config-if)# ip ips MYIPS in BSS - v

74 Upgrade to Latest SDF Router (config)# ip ips name ips-name Creates an IPS rule. Router (config)# no ip ips sdf builtin Instructs the router not to load the built-in signatures. Router (config)# ip ips fail closed Instructs the router to drop all packets until the signature engine is built and ready to scan traffic. BSS - v

75 Upgrade to Latest SDF(Cont.) Router (config-if)# ip ips ips-name {in out} [list acl] Applies an IPS rule at an interface. This command automatically loads the signatures and builds the signature engines. BSS - v

76 Monitoring Cisco IOS IPS Signatures Network Management Console Alarm SDEE Protocol Alert Syslog Syslog Server BSS - v

77 SDEE Benefits (Security Device Event Exchange) Vendor Interoperability SDEE will become the standard format for all vendors to communicate events to a network management application. This lowers the cost of supporting proprietary vendor formats and potentially multiple network management platforms. Secured transport The use of HTTP over SSL or HTTPS ensures that data is secured as it traverses the network BSS - v

78 Set Notification Type Router (config)# ip ips notify [log sdee] Sets notification type Router(config)# ip ips notify sdee Router(config)# ip ips notify log Router (config)# ip sdee events num_of_events Sets the maximum number of SDEE events that can be stored in the event buffer. BSS - v

79 show Commands Router# show ip ips configuration Verifies that Cisco IOS IPS is properly configured. Router# show ip ips signatures [detailed] Verifies signature configuration, such as signatures that have been disabled. Router# show ip ips interface Display the interface configuration. BSS - v

80 clear Commands Router# clear ip ips configuration Remove all intrusion prevention configuration entries, and release dynamic resources. Router# clear ip ips statistics Reset statistics on packets analyzed and alarms sent Router# clear ip sdee {events subscriptions} Clear SDEE events or subscriptions. BSS - v

81 debug Commands Router# debug ip ips timers Router# debug ip ips object-creation Router# debug ip ips object-deletion Router# debug ip ips function trace Router# debug ip ips detailed Router# debug ip ips ftp-cmd Router# debug ip ips ftp-token Router# debug ip ips icmp Router# debug ip ips ip Router# debug ip ips rpc Router# debug ip ips smtp Router# debug ip ips tcp Router# debug ip ips tftp Router# debug ip ips udp Instead of no, undebug may be used BSS - v

82 Configure Intrusion Prevention on the PIX Security Appliance BSS - v

83 Configure IDS pixfirewall(config)# ip audit name audit_name info [action [alarm] [drop] [reset]] Creates a policy for informational signatures. pixfirewall(config)# ip audit name audit_name attack [action [alarm] [drop] [reset]] Creates a policy for attack signatures. pixfirewall(config)# ip audit interface if_name audit_name Applies a policy to an interface. pixfirewall(config)# ip audit name ATTACKPOLICY attack action alarm reset pixfirewall(config)# ip audit interface outside ATTACKPOLICY When the PIX Security Appliance detects an attack signature on its outside interface, it reports an event to all configured Syslog servers, drops the offending packet, and closes the connection if it is part of an active connection. BSS - v

84 Specify Default Actions for Signatures pixfirewall(config)# ip audit attack [action [alarm] [drop] [reset]] Specifies the default actions for attack signatures. pixfirewall(config)# ip audit info [action [alarm] [drop] [reset]] Specifies the default actions for informational signatures. pixfirewall(config)# ip audit info action alarm drop When the PIX Security Appliance detects an info signature, it reports an event to all configured Syslog servers and drops the offending packet. BSS - v

85 Disable Intrusion Detection Signatures pixfirewall(config)# ip audit signature signature_number disable Excludes a signature from auditing. pixfirewall(config)# ip audit signature 6102 disable Disables signature BSS - v

86 DoS, DDoS Ping of death Teardrop Land UDP-flood Smurf (Fraggle) SYN Flood Attack (Naptha (FIN)) HTTP-flood (Slowloris) HTTP GET Flood BSS - v

87 SYN Flood Attack Atakujący podszywa się pod nieistniejący adres IP i zalewa cel pakietami SYN. Cel odpowiada na pakiety SYN poprzez wysłanie pakietów SYN-ACK na nieistniejący adres IP. Cel przepełnia swój bufor zbyt dużą liczbą embryonic connections i przestaje odpowiadać na prawidłowy ruch. BSS - v

88 SYN Flood Guard Configuration pixfirewall (config)# static [(prenat_interface, postnat_interface)] mapped_address interface real_address [dns][netmask mask][norandomseq][connection_limit [em_limit]] For inbound connections: Use the em_limit to limit the number of embryonic connections. Set the limit to a number lower than the server can handle. pixfirewall (config)# nat [(if-name)]id address [netmask [outside] [dns] [norandomseq] [timeout hh:mm:ss] [conn_limit [em_limit]]] For outbound connections: Use the em_limit to limit the number of embryonic connections. Set the limit to a number lower than the server can handle. pixfirewall(config)# nat (inside) pixfirewall(config)# static (inside,outside) BSS - v

89 Slow-Header Attack Ciąg dalszy nastąpił po 20s. -know-how-to-protect-against-such-attacks-using-netscaler/ BSS - v

90 Slow-Post Attack -know-how-to-protect-against-such-attacks-using-netscaler/ BSS - v

91 HTTP GET Flood Nie ma na celu wysycenia pasma. Ma na celu wysycenie zasobów serwera (CPU, memory). Zapytanie musi być tak przygotowane aby serwer musiał wykonać maksymalnie wiele operacji (zapytania do bazy danych, sesje SSL). Od czasu gdy HTTP GET Flood używa standardowych URL requests, stał się trudny do rozpoznania przez systemy IDS/IPS, szczególnie w wersji rozproszonej (DDoS). BSS - v

92 OWASP: HTTP Post Tool Open Web Application Security Project OWASP's guides are a great start towards building and maintaining secure applications. quickly, accurately, efficiently. BSS - v

93 DoS, DDoS - przeciwdziałanie 1. Zoptymalizuj swoją stronę. Im mniej zapytań do bazy danych i im mniej zasobów pobieranych z twoich serwerów podczas wizyty na twojej stronie, tym lepiej. 2. Statyczne treści (obrazki, skrypty js, arkusze stylów, pliki PDF) wystaw przy pomocy osobnego serwera, tzw. CDN (Content Delivery Network). 3. Rozważ CDN dla całego serwisu. Istnieją tanie rozwiązania takie jak darmowy Cloudflare. 4. Zastanów się nad loadbalancingiem. Krótko mówiąc, skaluj moc obliczeniową swoich serwerów. Żądanie zanim trafi do webserwera jest przechwytywane przez loadbalancer, który następnie decyduje do którego webserwera z farmy (klastra) je przekazać. Wirtualizacja i optymalizacja wykorzystania zasobów. 5. Skaluj łącze. Dynamiczny routing i kilka niezależnych łącz może pomóc w trakcie ataków DDoS. 6. Rozdziel usługi. DDoS-y z reguły dotykają stron WWW. 7. Ustal alternatywny kanał komunikacji, np. Facebook. BSS - v

94 CloudFlare is the next-generation CDN BSS - v

95 CloudFlare advanced DDoS protection Layer 3/4 attacks DNS amplification attacks SMURF attacks ACK attacks Layer 7 attacks BSS - v

96 IDS: Intrusion Deception System BSS - v

97 Detekcja Zastawienie wielu pułapek w celu złapania intruza, już w czasie rekonesansu (przed atakiem szkodliwym). Wstawienie w przepływający ruch (aplikacje webowe zawierające URLe, formularze, pliki) detection points losowe i zmienne dane. Kiedy intruz zaczyna manipulować detection points zostaje złapany. detection points nie są związane z serwerem aplikacji, użytkownik także ich nie widzi. detection points zostaną zauważone przez intruza szukającego podatności na np. exploity. Aplikacja nie jest już pasywna! BSS - v

98 Śledzenie Po etapie detekcji następuje: Śledzenie: IP Wstrzyknięcie persistent token do przeglądarki intruza Fingerprinting maszyny intruza (jeśli używa softu albo skryptów) Rejestracja (PVR) BSS - v

99 Profil W czasie śledzenia budowany jest profil intruza: BSS - v

100 Reakcja Reakcje automatyczne, w czasie rzeczywistym: BSS - v

101 Aktualizacja systemu ochrony Dawne czasy: raz dziennie Dziś: natychmiast gdy zagrożenie wykryte Jak wykrywać zagrożenia? Ktoś musi dostarczyć próbkę A może lepiej pobierać dane z systemów klientów? BSS - v

102 Ochrona w czasie rzeczywistym inteligencja w chmurze BSS - v

103 Ochrona w czasie rzeczywistym inteligencja w chmurze BSS - v

104 Ochrona w czasie rzeczywistym inteligencja w chmurze BSS - v

105 Ochrona w czasie rzeczywistym inteligencja w chmurze BSS - v

106 Ochrona w czasie rzeczywistym inteligencja w chmurze BSS - v

107 ASA CX ASA Context Aware BSS - v

108 ASA CX BSS - v

109 ASA CX BSS - v

110 ASA CX BSS - v

111 ASA CX BSS - v

112 ASA CX BSS - v

113 ASA CX BSS - v

114 ASA CX BSS - v

115 ASA CX BSS - v

116 ASA CX BSS - v

117 ASA CX BSS - v

118 ASA CX Zastosowanie: Styk z Internetem Kontrola aplikacji NGFW BSS - v

119 BSS - v

120 WAF Web Application Firewall: Cisco Web Security Appliance BSS - v

121 Web Security Appliance - Cache Web Proxy BSS - v

122 Web Security Appliance - Cache Web Proxy BSS - v

123 Web Security Appliance - Cache Web Proxy BSS - v

124 Aplikacje webowe W 2020 roku ponad 80% to aplikacje webowe! Główne, obecne zagrożenia: Injection Attacks, PHP Remote File Includes, Cross Site Scripting (XSS), Cross Site Request Forgeries (CSRF), Insecure Communications BSS - v

125 SQL Injection Imperva: SQLinjection has been responsible for 83% of successful hacking-related data breaches ( ) Wstrzyknięcie Injection szkodliwych, spreparowanych przez intruza, danych do interpretera. Wyszukanie stron w aplikacji webowej, które akceptują wprowadzane przez użytkowników informacje w celu dostępu do bazy: login form, signup form, forgot password form, dynamiczne strony używające zmiennych w URL takich jak ID produktu. Włamania typu SQL injection wynikają z dwóch głównych przyczyn: braku lub niewystarczającej walidacji danych wejściowych, braku kodowania znaków specjalnych przed wstawieniem do zapytania SQL. BSS - v

126 Przykład SQL Injection Załóżmy że na stronie znajduje się następujący formularz: <form method="post" action="login.php"> Login: <input type="text" name="login"><br> Hasło: <input type="password" name="pass"><br> <input type="submit" value="zaloguj się"><br> </form> Po stronie serwera, w kodzie PHP tworzone i wykonywane jest następujące zapytanie: SELECT USER_ID FROM USERS WHERE (LOGIN='$login') AND (PASS='$pass') BSS - v

127 Przykład SQL Injection Intruz wpisuje w pole hasło: ' OR '1'='1 Zapytanie, które zostanie wykonane będzie następujące: SELECT USER_ID FROM USERS WHERE (LOGIN='admin') AND (PASS='' OR '1'='1') BSS - v

128 Przykład SQL Injection Intruz wpisuje: admin') -- Zapytanie, które zostanie wykonane będzie następujące: SELECT USER_ID FROM USERS WHERE (LOGIN='admin') --') AND (PASS='') BSS - v

129 Przykład SQL Injection Intruz wpisuje: ') DELETE FROM USERS -- Zapytanie, które zostanie wykonane będzie następujące: SELECT USER_ID FROM USERS WHERE (LOGIN='') DELETE FROM USERS -- ') AND (PASS='') BSS - v

130 Przykład SQL Injection Intruz wpisuje: '); exec master..xp_cmdshell 'iisreset /stop' -- Zapytanie, które zostanie wykonane będzie następujące: SELECT USER_ID FROM USERS WHERE (LOGIN=''); exec master..xp_cmdshell 'iisreset /stop' -- ') AND (PASS='') BSS - v

131 Przykład SQL Injection Wyświetlenie listy zamówionych produktów za pomocą zapytania: SELECT PRODUKT_ID, NAZWA, OPIS, KWOTA FROM PRODUKTY, ZAMOWIENIA WHERE (PRODUKTY.PRODUKT_ID=ZAMOWIENIA.PRODUKT.ID) AND (KLIENT_ID=$id) ORDER BY NAZWA Wstrzyknięcie: 0 OR 1=1 BSS - v

132 Przykład SQL Injection Dostęp do innych tabel, korzystając z instrukcji UNION: -1) UNION SELECT KLIENT_ID, LOGIN, HASLO, 0 FROM KLIENCI -- Zapytanie pozwoli zwrócić pełną listę listę loginów i haseł klientów sklepu: AND (KLIENT_ID=-1) UNION SELECT KLIENT_ID, LOGIN, HASLO, 0 FROM KLIENCI --) BSS - v

133 SQL Injection SQL Injection można szukać innych tabel w bazie danych, oraz próbować określić typy ich kolumn. blind SQL injection kiedy wynik wstrzykniętego kodu nie jest prezentowany, wiemy tylko czy zapytanie zakończyło się sukcesem, czy niepowodzeniem. Wielofazowy atak SQL Injection: To zostało zakodowane (np. = ) przy zapisie do bazy, jest jednak odkodowywane przy odczycie, czyli można tego użyć do generowania szkodliwego zapytania BSS - v

134 Przykład: SQL Injection BSS - v

135 PHP Remote File Includes PHP to najpopularniejszy web application framework. Funkcja allow_url_fopen jest ulubioną przez intruzów funkcją, gdyż: pozwala uruchamiać ich skrypty na stronach ofiar, jest domyślnie włączona. Dostęp do choćby jednego pliku i dodanie w nim: include( ) = sukces Rozwiązania: Wyłączenie a jeśli nie to: kontrola użycia, aktualizacja, śledzenie informacji o nowych podatnościach. BSS - v

136 Cross Site Scripting (XSS) Cross Site Request Forgeries (CSRF) Non-persistent Typowo niewinnie wyglądający URL prowadzący do zaufanej strony ale zawierający XSS. Jeśli zaufana strona jest podatna, po kliknięciu na link wstrzyknięty skrypt zostanie wykonany. Persistent Typowa aplikacja webowa ze stroną, w której użytkownik może umieszczać bezpośrednio tekst: Forums Comments Wikis Reviews Umieszczenie wpisu zwierającego JavaScript z innego serwera: <script src= ></script>. Załadowanie strony zawierającej powyższy wpis. Jeśli skrypt się wykonał strona jest podatna. BSS - v

137 Cross Site Scripting (XSS) Cross Site Request Forgeries (CSRF) CSRF: Jeśli występuje podatność XSS to można dzięki obcym skryptom wykradać dane z maszyny ofiary np. ciasteczka, a jak intruz ma ciasteczko ma też sesję, a gdy ma sesję może w imieniu zaufanej osoby rozsyłać linki zawierające XSS (np. instalujące złośliwe oprogramowanie). Rozwiązanie: Nigdy nie ufaj danym wprowadzanym przez user a! Kasuj kod JavaScript wstawiany przez user a. Limituj i kontroluj tagi dostępne dla user a. BSS - v

138 Insecure Communications Brak SSL/TLS, SSH, innych BSS - v

139 Watering Hole wodopój BSS - v

140 Watering Hole wodopój 29/12/2012 Kilka dni temu ktoś włamał się na stronę amerykańskiej organizacji Council on Foreign Relations i umieścił na stronie złośliwy kod JavaScript, który przy pomocy Adobe Flasha exploituje w pełni zapatchowane IE8 (technika heap spray) BSS - v

141 Drive-by download Drive-by download niezamierzone, nieświadome pobranie softu z Internetu: Pobranie autoryzowane przez użytkownika bez świadomości / zrozumienia konsekwencji (pobranie i instalacja nieznanego kodu ActiveX lub Java oraz trojany). Pobranie bez wiedzy użytkownika: wirusy, spyware, malware, crimeware. BSS - v

142 Botnet Botnet zbiór węzłów sieci (hostów) zainfekowanych złośliwym oprogramowaniem (podobnym do robaka, którego celem jest rozprzestrzenianie, niewidocznym dla użytkownika) dającym możliwość, jego twórcom, zdalnej kontroli nad wszystkimi zainfekowanymi węzłami. Zombie pojedynczy węzeł sieci botnet. Botnet = armia zombie. Typowe zastosowania: rozsyłanie spamu, ataki DDoS (Distributed Denial of Service), kradzież poufnych informacji, sabotaż, oszustwa, inwigilacja. BSS - v

143 Botnet NASK przejmuje domeny polskiego botnetu Virut Virut to botnet dzieło polskich programistów. Jego wielkość szacuje się na ok zainfekowanych maszyn, a botnet jest wykorzystywany do spamu, kradzieży danych i ataków DDoS. Swoje centrum dowodzenia miał w Polsce. Do dzisiaj NASK właśnie poinformował, że przejął 23 polskie domeny, które wykorzystywane były w atakch Virutem. Jest to pierwszy przypadek, w którym NASK decyduje się na tak drastyczne decyzje, jak siłowe odebranie domeny jej właścicielowi ale nie ulega wątpliwości, że w tym przypadku jest to słuszna i długo wyczekiwana decyzja. NASK do tej pory, w przeciwieństwie do innych registrarów nie nakładał żadnych sankcji na złośliwe domeny. Domeny Viruta wskazują obecnie na adres należący do NASK-u. Z naszych informacji wynika, że już od kilku lat Virut był wnikliwie analizowany przez zespół CERT Polska. Dzięki temu ustalono, że C&C Viruta było utrzymywane m.in. na domenach zief.pl oraz ircgalaxy.pl, które dziś zostały wyłączone przez NASK. Techniką sinkholingu pozyskano także informację o 890 tysiącach unikalnych adresów IP zainfekowanych Virutem użytkowników. Na botnecie tej wielkości można uzyskać przychody rzędu złotych w skali roku. 18/1/ BSS - v

144 Botnet Kontrowersje wokół akcji Microsoftu wymierzonej w botnet Citadel Kilka dni temu, szerokim echem odbiła się w mediach międzynarodowa operacja Microsoftu, której wynikiem było ubicie botnetu Citadel. Botnet wykradał pieniądze z kont bankowych przy pomocy złośliwego oprogramowania i sztuczek socjotechnicznych. Problem w tym, że oprócz przestępców stojących za botnetem oberwali także researcherzy, a sam Microsoft demontując botnet najprawdopodobniej złamał prawo w wielu krajach Microsoft rozłożył 1400 botnetów i przejął 4000 domen (sinkhollując je na swój adres IP). Akcja odbyła się równocześnie w 80 krajach. Niestety Microsoft przejmując domeny, przejął także kilkaset domen, które już wcześniej były przejęte i sinkhollowane przez innych researcherów, m.in. przez ekipę abuse.ch. Po rozmowach z innymi researcherami, okazuje się, że aż 1000 domen przejętych przez Microsoft w rzeczywistości nie należało do właścicieli Citadela, a do różnch bezpieczników Po akcji Microsoftu niestety nie będą one w stanie zbierać logów, a zatem Shadowserver przestanie informować administratorów o tym, że w ich podsieciach są zainfekowane hosty Co gorsza, okazuje się, że Microsoft przez swój sinkhole serwuje poprawny plik konfiguracyjny Citadela zainfekowanym hostom, który powoduje: zdjęcie blokady URL serwerów firm antywirusowych (to umożliwi ich aktualizację) zmianę IP serwerów C&C na microsoftowe Powyższe działanie pozornie korzystne dla użytkowników końcowych jest jednocześnie moralnie wątpliwe od lat w świecie bezpieczeństwa trwa debata, czy mając możliwość zdalnego wykonywania poleceń na zainfekowanych komputerach powinno się je siłowo i bez zgody/świadomości właściciela leczyć? 8/6/ BSS - v

145 Honeypot Garnce miodu (ang. honeypot) Systemy tworzone jedynie w celu zbierania informacji o atakach na nie przeprowadzanych brak innych funkcji. Początek lat 90-tych trudne, uporczywe ataki wymagały podjęcia dodatkowych czynności aby określić intruza. Pierwszy publicznie dostępny honeypot: Deception Toolkit, przeznaczony dla systemów Unix-like zestaw skryptów napisanych w języku perl, symulujących znane usługi sieciowe wraz z wybranymi lukami dla zachęty dla atakujących. Powstało wiele projektów, od prostych aplikacji po rozbudowane systemy czy nawet całe sieci komputerowe. Współczesne honeypoty: Specter, Kfsensorczy PatriotBox (o zamkniętym kodzie źródłowym) oraz Honeyd, Nepenthes, Dionaea czy LaBrea (o otwartym kodzie źródłowym). BSS - v

146 Honeypot W budowie honeypotów coraz częściej wykorzystuje się też oprogramowanie do wirtualizacji w połączeniu z oprogramowaniem monitorującym system i filtrującym ruch sieciowy. Istnieją też implementacje honeypotów dedykowane sieciom bezprzewodowym, takie jak fake ap czy honeyspot. Zwykle honeypoty klasyfikuje się ze względu na stopień interakcji, czyli na to, na ile pozwalają one atakującemu: wysoki stopień interakcji: uruchomienie rzeczywistego systemu lub systemu opartego o oprogramowanie do wirtualizacji, wzbogaconego o podsystem monitorowania akcji użytkowników w sposób dla nich możliwie niezauważalny czy też gotowe rozwiązania komercyjne jak Symantec Decoy Server, które de facto pozwalają na to samo przy znacznie mniejszym nakładzie pracy. Wady to wysoki koszt wdrożenia oraz groźba, iż stanie się, po przejęciu kontroli, przyczółkiem do ataku na istotne zasoby. niski stopień interakcji: prosta aplikacja lub skrypt, nasłuchujący na wyznaczonym porcie i symulujący działanie jakiejś usługi. Cel: zapisywanie możliwie najwięcej danych na temat połączeń, tj. czas, adres źródłowy, przesyłane dane itp. BSS - v

147 Sandbox Sandbox jest jednym z mechanizmów zwiększających bezpieczeństwo poprzez separowanie uruchamianych programów. Często wykorzystywane do uruchamiania niezaufanego / podejrzanego kodu / programów pochodzących od stron trzecich, dostawców, niezaufanych użytkowników czy też stron internetowych. Typowo sandbox dostarcza ściśle kontrolowany zestaw zasobów (pamięć operacyjna i dyskowa, czas procesora) potrzebny do uruchomienia podejrzanego programu. Tak przygotowywane środowisko jest ściśle kontrolowane, pozwala poznać prawdziwą naturę programu. Wszelkie niebezpieczne działania jak dostęp do sieci, urządzeń IO, systemu operacyjnego są zabronione albo bardzo ograniczone / kontrolowane. Można powiedzieć, że sandbox to specyficzny przypadek wirtualizacji. BSS - v

148 DNS cache poisoning Typy serwerów: Authoritative (autorytatywne) Recursive (nieautorytatywne) Podstawa działania serwerów DNS: Jeśli serwer DNS Recursive nie zna adresu domeny pyta o niego serwer Authoritative dla tej domeny. Serwer Authoritative odpowiada a serwer Recursive zapamiętuje tę odpowiedź przez określony czas i udostępnia ją zainteresowanym. BSS - v

149 DNS cache poisoning Opis ataku: Atakujący zasypuje atakowany serwer Recursive zapytaniami o domeny podobne do 1q2w3e.mojbank.com. Serwer nie zna oczywiście odpowiedzi, pyta więc serwer Authoritative o dane domeny 1q2w3e.mojbank.com Z odpowiedzią spieszy atakujący zasypując atakowany serwer Recursive fałszywymi odpowiedziami (duża liczba zwiększa szanse odgadnięcia numeru portu i ID w zapytaniu DNS są to podstawowe mechanizmy bezpieczeństwa). Fałszywe odpowiedzi zwierają nie tylko adres dla domeny 1q2w3e.mojbank.com ale także adres fałszywego serwera DNS dla domeny, pod którą atakujący chce się podszyć. Teraz gdy przyjdzie zwykłe zapytanie o domenę mojbank.com zaatakowany serwer Recursive zwróci się o podanie jej adresu do intruza. BSS - v

150 DNS cache poisoning Bezpiecznie: gdy serwer jest Authoritative dla danej domeny. Zagrożenie: gdy serwer jest Recursive dla danej domeny ale porty wybierane są losowo. Wysokie zagrożenie: gdy serwer jest Recursive dla danej domeny i porty nie są wybierane losowo. BSS - v

151 Testy penetracyjne OWASP (Open Web Application Security Project) The Development Guide will show your project how to architect and build a secure application, the Code Review Guide will tell you how to verify the security of your application's source code, and this Testing Guide will show you how to verify the security of your running application 16th December, OWASP Testing Guide, v3.0 15th February, DRAFT New Testing Guide v4 Na niezamówione pentesty jest paragraf Tego typu czynności to łamanie prawa wykonując testy bezpieczeństwa bez zgody właściciela infrastruktury, wykonujesz je na własną odpowiedzialność i ryzykujesz zatrzymanie przez policję nawet jeśli swoimi odkryciami za darmo i bezinteresownie podzielisz się z właścicielem. Prawda jest taka, że po ujawnieniu twój los jest całkowicie w rękach właściciela sieci, do której się włamałeś a łatwo jest sobie wyobrazić, jaka jest pierwsza reakcja osoby, która dowiaduje się, że ktoś mógł np. czytać jej pocztę ;) BSS - v

152 TOR TOR jest siecią składającą się z wirtualnych tuneli implementowanych w darmowym oprogramowaniu, które pozwala na zwiększenie prywatności i bezpieczeństwa użytkowników. W rzeczywistości każdy komputer, na którym zainstalowano oprogramowanie TOR, zachowuje się jak serwer Proxy, przy czym wszystkie serwery należące do sieci traktowane są jako grupa podlegająca wspólnym, ściśle określonym zasadom The Onion Routing (ang. trasowanie cebulowe). Podczas połączeń zestawiane są okresowo inne za każdym razem ścieżki, którymi wysyłane są pakiety za pośrednictwem wielu użytkowników sieci TOR. Ponadto wszystkie transmisje pomiędzy poszczególnymi peerami są osobno szyfrowane za wyjątkiem połączenia pomiędzy ostatnim węzłem danej ścieżki, a serwerem docelowym. BSS - v

153 TOR połączenie szyfrowane połączenie nieszyfrowane BSS - v

154 TOR Trasowanie realizowane jest w ten sposób, że każdy z węzłów biorących udział w przesyłaniu danych w obrębie jednej ścieżki posiada informacje jedynie o węźle, który przysłał jemu dane oraz o węźle, do którego on sam ma je wysłać. Testy pokazały, że kontrolowanie tylko 4% wszystkich węzłów sieci TOR pozwala na przechwycenie dowolnego pakietu z prawdopodobieństwem równym 50%. Sytuacja taka jest możliwa ponieważ w przypadku dużego ruchu sieciowego jest on kierowany do węzłów dysponujących łączem o dużej przepustowości. Ponadto możliwe także do przeprowadzenia są tzw. ataki czasowe. Zamiast starać się łamać szyfrowane połączenia lub podstawiać fałszywe węzły wystarczy nasłuchiwać ruch w obu kierunkach wszystkich węzłów brzegowych sieci obserwując jedynie ilość wysyłanych bądź odbieranych danych oraz czas, w którym takie operacje mają miejsce. Dzięki temu można ustalić zależność pomiędzy nadawcą pakietów, a ostatnim węzłem, który przekazuje je do serwera docelowego z pewnym opóźnieniem, a tym samym zidentyfikować klienta i jego działania w sieci. BSS - v

155 TOR Policja rekwiruje serwery, bo są węzłami TOR-a 20 letni Austriak, William Weber, musiał się tłumaczyć na komisariacie, że to nie on osobiście, a ktoś korzystający z zainstalowanego na jego serwerze TOR-a wszedł na polski serwer hostujący dziecięcą pornografię. I to tego kogoś, a nie Wiliama, policja powinna oskarżać o dystrybucję materiałów pedofilskich (za co grozi 10 lat więzienia). BSS - v

156 TOR NSA Nigdy nie będziemy w stanie deanonimizować wszystkich użytkowników TOR-a przez cały czas BSS - v

157 TOR - Przykład BSS - v

158 TOR - Przykład BSS - v