Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami

Transkrypt

1 Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami Współczesnym systemom IDS zarzucane jest, że baza sygnatur ataków analizowana jest przez nie w sposób nielogiczny (np. komunikacja do serwera DNS analizowana jest pod kątem ataków HTTP), a sensory wykrywają i rejestrują zdarzenia nieistotne z punktu widzenia bezpieczeństwa sieci chronionej. Wynika to z faktu, że polityka bezpieczeństwa większości systemów IDS w ogóle nie uwzględnia chronionego systemu informatycznego (tzn. na sensorach IDS można globalnie włączyć lub wyłączyć sygnatury ataków bez możliwości uwzględniania jakiej komunikacji sieciowej powinny dotyczyć). Baza sygnatur Kategoria 1 Sygnatura 1 Sygnatura 2 Dla każdego sensora IDS należy włączyć lub wyłączyć ponad 1000 stale dodawanych sygnatur ataków. Kategoria 2 Sygnatura 1 Sygnatura 2 Kategoria 3 Sygnatura 1 Sygnatura 2 Akcja 1 Akcja 2 Dla każdej sygnatury należy ustalić akcję sensora IDS. Wszystkie włączone sygnatury sprawdzane są względem całości ruchu sieciowego. Polityka bezpieczeństwa starej generacji systemu IDS Większość obecnie dostępnych systemów IDS była tworzona w latach W tamtym czasie baza sygnatur IDS nie przekraczała 100 rekordów. Rozwój i skomplikowanie środowiska sieciowego oraz duża, stale zwiększająca się liczba znanych ataków wymagają efektywności funkcjonowania systemów IDS. Najbardziej założone i czasochłonne dla IDS są operacje wykonywane na bazie sygnatur (m.in. dopasowywanie sygnatur ataków do rejestrowanego ruchu sieciowego). Baza sygnatur składa się bowiem z dużej liczby definicji podstawowych ataków (ponad rekordów) oraz dodatkowo definicji różnych mutacji tych ataków.

2 Dla efektywnego funkcjonowania zabezpieczeń polityka bezpieczeństwa IDS powinna jednoznacznie ustalać, jaki ruch sieciowy podlega inspekcji przez określone sensory oraz czego należy w nim szukać (tzn. jakich rodzajów ataków). Istotne stało się tworzenie precyzyjnej polityki bezpieczeństwa IDS. Samo zidentyfikowanie ruchu sieciowego (tzn. odczyt nagłówka pakietu) odbywa się bowiem w czasie wielokrotnie krótszym od czasu potrzebnego na analizę dużej bazy sygnatur. Intrusion Detection and Prevention (IDP) to nowa generacja systemów zabezpieczeń sieciowych, do których należy OneSecure (obecnie NetScreen IDP ). Przyjęta koncepcja polityki bezpieczeństwa IDP umożliwia sprawne utrzymanie jej logicznej spójności i poprawności oraz efektywne jej zarządzanie. Polityka bezpieczeństwa IDP składa się ze zbioru reguł jednoznacznie ustalających, jaki ruch sieciowy podlega inspekcji przez określone sensory IDP, czego należy w nim szukać (tzn. jakich rodzajów ataków) oraz jakie działanie powinien podejmować system zabezpieczeń w razie wykrycia tych zdarzeń. Dla porównania, polityka bezpieczeństwa systemów IDS starej generacji ustala jedynie, jakie sygnatury powinny być włączone na określonym sensorze i jaka powinna być dla każdej z nich podejmowana akcja sensora IDS. Utrzymanie poprawnej logicznie oraz efektywnej polityki bezpieczeństwa systemu IDS starej generacji przy obecnie bardzo dużej liczbie (rzędu 1.500), na bieżąco rozwijanej bazy sygnatur jest ogromnie czasochłonne. IDP 1 należy do nowej generacji systemów wykrywania intruzów i przeciwdziałania atakom. Daje administratorom rozbudowane narzędzia do monitorowania i kontroli ruchu sieciowego, niedostępne w starej generacji systemach IDS. Konfiguracja IDP wynika bezpośrednio z przyjętej polityki bezpieczeństwa systemu informatycznego. IDP został zaprojektowany tak, aby nie było konieczności dostosowywania polityki bezpieczeństwa do możliwości zastosowanej technologii zabezpieczeń (m.in. rezygnowania z pożądanych funkcji bezpieczeństwa na skutek ograniczeń technologii zabezpieczeń). 1 IDP został zaprojektowany przez Nir Zuk. Wcześniej Nir Zuk pracował w Check Point, gdzie opracował architekturę i kierował rozwojem wielu produktów (m.in. FireWall-1, VPN-1 ) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 2

3 Konsola administratora IDP System IDP jest administrowany z centralnej konsoli zarządzającej (patrz rysunek). Wszystkie zabezpieczenia IDP w sieci, bez względu na lokalizację funkcjonują zgodnie z jedną, spójną polityką bezpieczeństwa przedsiębiorstwa. Konsola GUI umożliwia utrzymanie jednej, centralnej polityki bezpieczeństwa przedsiębiorstwa w zakresie wykrywania intruzów i aktywnego blokowania ataków 2003 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 3

4 Funkcjonalność IDP IDP to system zabezpieczeń sieciowych realizujący zadania wykrywania intruzów (IDS) oraz w czasie rzeczywistym blokujący ataki. IDP potrafi skutecznie blokować ataki w odróżnieniu do zwykłych systemów IDS, które nasłuchując sieć identyfikują zdarzenia w czasie gdy intruzi wykonali już ataki na chronione zasoby i w praktyce nie są w stanie ich zablokować. Nawet jeżeli zwykły IDS powiadomi o zdarzeniu Firewall to jest to już po fakcie. System IDP funkcjonuje w trybie in-line jako aktywna brama sieci, bezpośrednio na drodze przepływu ruchu sieciowego. System IDP wykrywa i blokuje intruzów przed uzyskaniem dostępu do chronionych zasobów IDP umożliwia wykrywanie prób skanowania, penetracji i włamań, ataków typu Exploit (poziomu sieci i aplikacji), ataków destrukcyjnych typu (D)DoS oraz innych technik stosowanych przez hakerów. Sensory IDP są dostarczane jako dedykowane, gotowe do wdrożenia urządzenia Appliance. Przepływność urządzeń IDP wynosi ponad 400 Mb/s. Mogą funkcjonować w trybie in-line (tzn. ruch sieciowy przepływa przez urządzenie) oraz Sniffer (urządzenie nasłuchuje ruch sieciowy). W trybie pracy in-line sensory IDP mogą zostać wdrożone jako router lub bridge CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 4

5 Architektura systemu IDP System zabezpieczeń IDP posiada w pełni trójwarstwową architekturę - sensory, serwer zarządzania i interfejs GUI. Umożliwia ona sprawne wdrożenie zabezpieczeń i zarządzenie bezpieczeństwem sieci. IDP składa się z następujących komponentów: Sensory IDP - analizują całość ruchu sieciowego, wykrywają i blokują ataki oraz wymuszają ustaloną politykę bezpieczeństwa, Serwer zarządzania (IDP Management Server) - przechowuje i zarządza wszystkimi sygnaturami ataków, bazą logów oraz zbiorem polityk bezpieczeństwa. Interfejs GUI - graficzne narzędzia do zarządzania IDP, umożliwiające administratorowi wykonywania swoich zadań z dowolnego miejsca w sieci. IDP może zostać wdrożony w architekturze rozproszonej (tzn. wszystkie komponenty oddzielnie) lub scentralizowanej, gdzie serwer zarządzania i sensor IDP funkcjonują na jednym urządzeniu. Całość zarządzania IDP oraz obsługa logów odbywa się na centralnym serwerze zarządzania. Polityki bezpieczeństwa są tworzone na serwerze zarządzania i instalowane na sensory IDP w sieci. Komunikacja sieciowa pomiędzy wszystkimi komponentami IDP jest zabezpieczona kryptograficznie. Sensory IDP mogą funkcjonować w trybie in-line lub sniffer. Pracując w trybie in-line sensory IDP mogą zostać wdrożenie w architekturze odpornej na awarie (HA) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 5

6 Techniki detekcji ataków System zabezpieczeń IDP wykorzystuje wiele metod identyfikacji i ochrony przed atakami. Metody detekcji ataków włączone są w zależności od kontrolowanego ruch sieciowego. Analiza danych za pomocą poszczególnych metod detekcji odbywa się w tym samym czasie (przetwarzanie współbieżne). Zapewnia to wysoką wykrywalność ataków bez obniżania wydajności. Zastosowany w IDP mechanizm Multi-Method Detection (MMD) zawiera następujące metody detekcji: Stateful Signatures - wykrywanie znanych ataków w oparciu o bazę sygnatur. Pełnostanowe sygnatury zawierają dane na temat wzorca ataku oraz rodzaju komunikacji, gdzie takie zdarzenie może wystąpić. Ruch sieciowy poddawany jest analizie kontekstowej przez co w dużym zakresie eliminowane są fałszywe alarmy (tzw. false positives). Wzorce ataków wyszukiwane są tylko w wybranej komunikacji sieciowej, zapewniając w ten sposób dużą efektywność kontroli i wydajność zabezpieczeń. Protocol Anomalies - wykrywanie niezgodności ruchu sieciowego ze standardami określonych protokołów (m.in. RFC). W praktyce zdarza się, że intruzi w celu zmylenia zabezpieczeń, bądź ukrycia rzeczywistych ataków generują ruch sieciowy odbiegający od przyjętych norm i standardów. Backdoor Detection - wykrywanie aktywności "koni trojańskich" oraz prób nieupoważnionego dostępu do chronionych systemów poprzez tzw. "włazy" (backdoor). Detekcja odbywa się poprzez porównywanie ruchu sieciowego ze znanymi wzorcami działań intruzów oraz analizę heurystyczną transmitowanych pakietów. Traffic Anomalies - identyfikowanie działań w sieci, uznawanych za niedozwolone lub podejrzane, które są realizowane w formie wielu, różnych połączeń (np. skanowanie portów). Analizie poddawane są połączenia w określonych przedziale czasowym. IP Spoofing - wykrywanie ruchu sieciowego ze sfałszowanymi adresami IP nadawcy pakietów (IP Spoofing). Intruzi często wykorzystują technikę IP Spoofing, żeby ukryć rzeczywiste źródło ataku. IDP wykrywa IP Spoofing porównując adresy IP w pakietach z adresami wykorzystywanymi w sieciach wewnętrznych. Layer 2 - wykrywanie ataków i działań podejrzanych na poziomie warstwy 2 modelu OSI i adresacji MAC (np. ARP cache poisoning). Jest to szczególnie wartościowe w przypadku kontroli przez IDP sieci wewnętrznych. Denial of Service Detection - wykrywanie ataków destrukcyjnych i destabilizujących (Denial-of-Service, DoS). Ataki DoS realizowane są zwykle poprzez wysyłanie do serwera usługi dużej liczby odpowiednio spreparowanych zapytań, które wyczerpują jego zasoby (np. SYN-Flood). Network Honeypot - wczesne wykrywanie i rozpoznawanie działań intruzów poprzez stosowanie techniki "honeypot". IDP w trakcie skanowania, penetracji lub próby włamania do chronionego systemu przedstawia intruzom fikcyjne informacje nt. usług dostępnych na serwerach CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 6

7 Przegląd narzędzi zarządzania Serwer zarządzania IDP odpowiada za scentralizowane tworzenie i wdrażanie polityki bezpieczeństwa przedsiębiorstwa w zakresie wykrywania i blokowania ataków i innych działań niedozwolonych, a także konsolidowanie zdarzeń (logów, alarmów) rejestrowanych na wielu sensorach w sieci i składowanie ich w centralnej bazie danych. Administratorzy z dowolnego miejsca w sieci mogą zarządzać całym systemem IDP z użyciem dedykowanych, graficznych narzędzi. Interfejs GUI składa się z sześciu podstawowych komponentów: Security Policy Editor - edytor polityki bezpieczeństwa umożliwiający tworzenie różnego rodzaju reguł (m.in. Main, SYN-Protector, Network Honeypot, Backdoor Detection, Traffic Anomalies, Sensor Settings Rulebases) i wdrażanie ich na wybrane sensory IDP w sieci. Dashboard - wyświetla w czasie rzeczywistym najbardziej istotne statystyki z funkcjonowania sieci i zabezpieczeń. Zawiera następujące sekcje: Host Watch List, Source Watch List, Attack Summary, Reports i Device Status. Graficzna konsola IDP przedstawia aktualny stan bezpieczeństwa sieci 2003 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 7

8 Object Editor - zarządzanie obiektów 2, na których operuje system zabezpieczeń IDP. Do podstawowych obiektów można zaliczyć Network Object (np. sieć, host, serwer, sensor), Service Object (np. FTP, HTTP, Telnet) oraz Attack Object (np. sygnatury ataków i anomalii protokołów). Log Viewer - przeglądanie i analizowanie zdarzeń rejestrowanych przez sensory IDP zgodnie z ustaloną polityką bezpieczeństwa. Wyświetla rekordy logów w formacie tabeli z możliwością definiowania specyficznych reguł filtracji i selekcji danych. Administrator w czasie rzeczywistym analizuje zdarzenia zarejestrowane przez sensory IDP Device Monitor - przedstawia aktualny stan sensorów IDP i serwera zarządzania (m.in. procesora, pamięci operacyjnej, procesów zabezpieczeń) oraz alarmuje administratora w razie wystąpienia sytuacji wyjątkowych. Reports generuje różnego rodzaju raporty na podstawie zdarzeń zarejestrowanych przez sensory IDP. 2 Obiekty polityki bezpieczeństwa IDP mogą zostać także zaimportowane ze stacji zarządzającej Check Point FireWall-1 za pomocą protokołu CPMI API (OPSEC ) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 8

9 Polityka bezpieczeństwa IDP Polityka bezpieczeństwa IDP składa się ze zbioru reguł opisujących zasady funkcjonowania zabezpieczeń. Reguły definiowane są za pomocą graficznego edytora Policy Editor. Edytor polityki bezpieczeństwa zawiera pięć sekcji: Main podstawowe zasady monitorowania sieci, wykrywania działań niedozwolonych i podejrzanych oraz eliminowania ataków, Backdoor Detection analiza ruchu sieciowego (m.in. badanie heurystyczne) pod kątem wykrywania interakcyjnych sesji, wskazujących na istnienie aplikacji typu Trojan lub Backdoor, Network Honeypot prezentowanie nieprawdziwych informacji na temat usług systemu informatycznego w razie wykrycia nieupoważnionych prób dostępu, SYN-Protector ochrona serwerów przed atakami Syn Flood, Traffic Anomalies - wykrywanie podejrzanych działań w sieci (np. skanowanie portów TCP i UDP). Administrator definiując reguły kontroli ruchu sieciowego może wybrać tryb konfiguracji Basic, zawierający tylko podstawowe ustawienia lub Advanced, bardziej szczegółowo określający działanie IDP (View Main Rulebase). Jaki ruch sieciowy podlega inspekcji? Czego należy szukać (m.in. jakich rodzajów ataków)? Jakie działania należy podejmować w razie wykrycia zdarzenia? 2003 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 9

10 Pole Match jednoznacznie identyfikuje ruch sieciowy podlegający kontroli. Kto inicjuje komunikację (klient)? Z kim odbywa się komunikacja (serwer)? Czy po zidentyfikowaniu komunikacji IDP poddaje ją kontroli względem następnych reguł? Definiując reguły IDP w trybie Advanced występuje dodatkowe pole Service, określające protokoły i usługi sieciowe poddawane kontroli. Pole Look For identyfikuje zdarzenia i ataki, które IDP powinien wykrywać CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 10

11 Pole Action określa sposób działania IDP po zidentyfikowaniu zdarzenia. Jaką akcję podejmuje IDP? W jaki sposób powiadamia administratora? Gdzie obowiązuje reguła? System IDP po wykryciu zdarzenia może podejmować różne działania w zależności od trybu w jakim funkcjonuje: none brak reakcji, ignore ignorowanie ruchu sieciowego, close client & server zamknięcie sesji i wysłanie pakietu RST do klienta i serwera aplikacji, close client zamknięcie sesji i wysłanie pakietu RST do klienta aplikacji, close server zamknięcie sesji i wysłanie pakietu RST do serwera aplikacji, (tylko w trybie in-line) drop packet zablokowanie pakietu bez wysyłania pakietu RST, drop connection zablokowanie połączenia bez wysyłania pakietu RST CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 11

12 Administrator IDP może być powiadomiony o zdarzeniu w następujący sposób: logging zapis informacji o zdarzeniu w logu, alarm zdarzenie wyświetlane jest na konsoli jako alarm (flaga w Log Viewer), session opis zdarzenia zawiera dodatkowo informacje o liczbie pakietów w sesji, liczbie bajtów oraz czasie jej trwania, SNMP Trap komunikat zwrotny do menadżera SNMP, syslog przesłanie informacji o zdarzeniu do serwera SYSLOG, send przesłanie informacji o zdarzeniu pocztą ( ), run script uruchomienie określonego skryptu lub aplikacji, log packets logowanie pakietów przed wystąpieniem zdarzenia i/lub po wystąpieniu zdarzenia (np. w celu dokładnego przeanalizowania ruchu sieciowego). Ustawienia poszczególnych sposobów powiadamiania IDP dokonywane są w menu Tools Preferences CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 12

13 Definiując reguły IDP w trybie Advanced występują dwa dodatkowe pola: IP Action akcja podejmowana po wykryciu zdarzenia na kolejnych pakietach w ramach tej komunikacji (np. blokowanie przez określony czas pakietów z adresu IP, z którego wykryto atak), Severity priorytet zdarzenia. Uwaga: Ustawienia IP Action powinny zostać dobrze przemyślane przed ich zastosowaniem. Jest to bardzo mocny mechanizm w rękach administratora, którego zastosowanie należy jednak odpowiednio zaplanować. Umożliwia on blokowanie wszelkich działań intruzów w razie gdy zostało przez IDP wykryte ich niedozwolone zachowanie. Przede wszystkim nie należy stosować IP Action jako reakcję na ataki, które mogą potencjalnie być wykonane z innych adresów IP (np. IP Spoofing, adresy IP w wysyłanych przez intruzów pakietach zostały sfałszowane,) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 13

14 System IDP dokonuje analizy ustalonego ruchu sieciowego, wykonując m.in. badania heurystyczne pod kątem wykrywania interakcyjnych sesji, wskazujących na istnienie na chronionych serwerach aplikacji typu Trojan lub Backdoor. Dla przykładu, wszystkie sesje z serwerem FTP, za wyjątkiem protokołu FTP są analizowane pod kątem istnienia aplikacji Backdoor/Trojan. W razie wykrycia nieupoważnionych prób dostępu do chronionych serwerów zabezpieczenia IDP prezentują intruzom nieprawdziwe informacje na temat dostępnych tam usług systemu informatycznego. Dla przykładu, w razie próby dostępu do usług FTP i WWW kontrolera domeny Windows 2000 intruzi uzyskują tylko pozorny dostęp do serwera, a wszystkie ich działania są monitorowane i rejestrowane CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 14

15 Ochrona serwerów w sieciach chronionych przed atakami DoS (destabilizujące, destrukcyjne) wykorzystującymi technikę SYN Flood. System IDP może po zauważeniu ataku wysłać pakiet RST do serwera TCP (metoda passive), bądź na czas dokładnego rozpoznania ataku zestawić z serwerem tymczasową sesję TCP (metoda relay). System IDP wykrywa podejrzane działania (np. skanowanie portów TCP/UDP) i reaguje na nie zgodnie z ustaleniami polityki bezpieczeństwa CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 15

16 Analiza i raportowanie rejestrowanych zdarzeń System IDP w czasie rzeczywistym wykrywa niedozwolone i podejrzane działania jak skanowanie, próby penetracji i włamań, ataki typu Exploit (poziomu sieci i aplikacji), ataki destrukcyjne i destabilizujące (D)DoS oraz wiele innych technik stosowanych przez hakerów. Detekcja ataków odbywa się z użyciem różnych metod stosowanych w zależności od rodzaju analizowanego ruchu (m.in. Stateful Signatures, Anomaly Detection, Network Honeypot, Spoofing Detection, Backdoor Detection). Administrator na bieżąco dokonuje analizy bezpieczeństwa systemu informatycznego z użyciem dedykowanych narzędzi. Za pomocą Log Viewer przegląda i selekcjonuje zdarzenia zarejestrowane przez poszczególne sensory IDP. Specjalne narzędzia Log Investigator umożliwiają dokładne rozpoznanie sposobu prowadzenia oraz zakresu ataków CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 16

17 Zdarzenia zarejestrowane w logu IDP mogą zostać zapisane do innego formatu (m.in. pliku PDF). Na ich podstawie administrator można także tworzyć raporty pod kątem analizy określonego zachowania lub stanu bezpieczeństwa (np. najczęściej skanowane serwery, najczęściej wykonywane ataki, wykaz ataków o największym poziomie zagrożenia). Raporty mogą być w razie potrzeby dostrajane z użyciem dostępnych dla każdego z nich kryteriów (np. przedziały czasowe, rodzaj wyświetlanego wykresu). Osoby zainteresowane mogą bliżej zapoznać się z polityką bezpieczeństwa IDP uruchamiając konsolę systemu zabezpieczeń w trybie Demo (server: *local, username i password dowolne). Konsolę dla systemów operacyjnych Windows można skopiować ze strony ftp://mozilla.clico.pl/pub/o/idpgui_install.exe Dostępna jest także konsola IDP na Linux CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 17