FAKULTA INFORMAČNÍCH TECHNOLOGIÍ

Transkrypt

1 VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY FAKULTA INFORMAČNÍCH TECHNOLOGIÍ ÚSTAV POČÍTAČOVÝCH SYSTÉMŮ FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF COMPUTER SYSTEMS ANALÝZA NEDOSTATKŮ IDS SYSTÉMŮ BAKALÁŘSKÁ PRÁCE BACHELOR S THESIS AUTOR PRÁCE AUTHOR MAREK ČERNÝ BRNO 2009

2 VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY FAKULTA INFORMAČNÍCH TECHNOLOGIÍ ÚSTAV POČÍTAČOVÝCH SYSTÉMŮ FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF COMPUTER SYSTEMS ANALÝZA NEDOSTATKŮ IDS SYSTÉMŮ ELUDING AND EVASION OF IDS SYSTEMS BAKALÁŘSKÁ PRÁCE BACHELOR S THESIS AUTOR PRÁCE AUTHOR VEDOUCÍ PRÁCE SUPERVISOR MAREK ČERNÝ Ing. MARTIN ŽÁDNÍK BRNO 2009

3 Abstrakt Tato práce se zabývá analýzou sít ových bezpečnostních prvků zvaných IDS systémy. Za účelem poukázání na možné nedostatky jsou zkoumány zejména sít ové IDS systémy pro vyhledávání vzorů a navrženy techniky, které využívají možných zranitelností techto systémů. Na základě těchto technik byla navržena a vytvořena aplikace, která umožňuje snadné testování účinnosti IDS systémů. A to takovým způsobem, který je zcela nezávislý na konkrétním sít ovém útoku použitém v rámci testu. Abstract This paper analyzes network security devices called intrusion detection (ID) systems. In order to point out possible flaws, especially ID systems using signature analysis are examined. Based on this, methods to exploit possible vulnerabilities of these systems were designed. These methods were implemented into a simple program for ID systems efficiency evaluation. It can be used in a way entirely independent of particular network attack used in the test. Klíčová slova IDS, sít ová bezpečnost, analýza paketů, fragmentace, insertion, evasion, Snort, Libnet Keywords IDS, network security, packet analysis, fragmentation, insertion, evasion, Snort, Libnet Citace Marek Černý: Analýza nedostatků IDS systémů, bakalářská práce, Brno, FIT VUT v Brně, 2009

4 Analýza nedostatků IDS systémů Prohlášení Prohlašuji, že jsem tuto bakalářskou práci vypracoval samostatně pod vedením Ing. Martina Žádníka. Uvedl jsem všechny literární prameny a publikace, ze kterých jsem čerpal Marek Černý 19. května 2009 Poděkování Na tomto místě bych rád poděkoval svému vedoucímu Ing. Martinu Žádníkovi za zasvěcení do problematiky a odbornou pomoc při tvorbě práce. c Marek Černý, Tato práce vznikla jako školní dílo na Vysokém učení technickém v Brně, Fakultě informačních technologií. Práce je chráněna autorským zákonem a její užití bez udělení oprávnění autorem je nezákonné, s výjimkou zákonem definovaných případů.

5 Obsah Úvod 2 1 IDS systémy Základní charakteristika Typy IDS systémů Techniky obcházení IDS systémů Základní rozdělení a charakteristika Vybrané techniky nad IPv4 a TCP Návrh a realizace aplikace Abstraktní návrh Snort Praktický návrh Evader Provedené testy Testovací prostředí Výsledky testů Nalezené nedostatky Zpoždění způsobené Evaderem Závěr 34 A Systémové požadavky 37 B Evader konfigurační jazyk 38 B.1 Příkazy nad celými pakety B.2 Příkazy nad fragmentovanými/segmentovanými daty B.3 Bílé znaky a komentáře C Evader parametry programu 40 C.1 Sít ové rozhraní a modifikace dat C.2 Možnosti průběžných výpisů C.3 Režim ladění D Ukázka spuštění anti-ids systému 41 E Obsah CD 42 1

6 Úvod Informační technologie zažívají v současnosti mohutný rozvoj a používání sítě Internet se za posledních několik let stalo prakticky samozřejmostí. Služby jako WWW nebo elektronická pošta se dostávají do povědomí široké veřejnosti, díky čemuž roste důležitost projektů jako jsou např. zpravodajské portály, internetové bankovnictví nebo nejrůznější komunitní servery. To doprovází i ekonomické hledisko a zcela nový druh podnikání založený především na reklamě. Stejně tak mnohé obchodní společnosti pro své účely Internet využívají a nesmíme zapomínat ani na prapůvodní doménu sít ové komunikace, vědecko-odbornou sféru. Tento trend má však i svoji stinnou stránku. S rostoucím významem vzrůstá i závažnost nejrůznějších bezpečnostních rizik. Zatímco filozofie a způsob využití Internetu se překotně vyvíjí, technologická stránka se stále drží původních principů zavedených v osmdesátých letech. Návrh byl koncipován s ohledem na funkcionalitu, nikoliv zabezpečení, a kvůli tomu je dnes otázka bezpečnosti na Internetu jedním z nejdiskutovanějších problémů v oblasti informačních technologií. Následky počítačových útoků jsou totiž čím dál závažnější a dávají tak vzniknout zcela novým kriminálním činům, jako např. žádání výkupného pod výhružkou napadení a odstavení určitého webového serveru [13]. Jedním z produktů, které se snaží napomoci zabezpečení na Internetu a sítích obecně, jsou tzv. systémy detekce průniku. Anglicky označované jako intrusion detection systems, kvůli čemuž se v češtině nejčastěji používá termín IDS systémy. Ve své nejobecnější podobě je IDS systém počítačový program, který monitoruje sít ový tok a podle množiny pravidel se snaží odhalit nežádoucí aktivity. V současnosti existuje celá řada nejrůznějších IDS systémů, které se liší např. v realizaci (hardwarové zařízení, softwarová aplikace), funkcionalitě nebo licenční politice. Pro popis technik používaných IDS systémy je třeba seznámit se s typy útoků, které se na Internetu objevují. Zabývat se jejich podrobnou taxonomií však není předmětem této práce, pro demonstraci si tedy zvolíme vhodného zástupce. Tím mohou být například DDoS útoky. Ty se s IDS systémy střetávají hned na několika úrovních a zároveň se jedná o reálnou hrozbu, nikoliv pouze akademický příklad případné následky úspěšného útoku lze pozorovat i v běžném životě [13]. Cílem útoku typu DoS (denial-of-service, odmítnutí služby) je způsobit nedostupnost určité internetové služby uživatelům. Toho je dosaženo zasíláním takových požadavků, které cílový server zcela vyřadí z provozu, nebo vytíží natolik, že není schopen obsluhovat další uživatele. DDoS (distributed denial-of-service) k tomuto využívá větší skupinu počítačů, jejichž činnost je nějakým způsobem koordinována. V zásadě existují dva přístupy, ačkoliv typický útok většinou kombinuje rysy obou z nich. Bud se jedná o útoky zneužívající specifických zranitelností, například v aplikaci webového serveru nebo vlastním komunikačním protokolu. Z toho důvodu jsou sít ové požadavky provádějící útok vždy něčím charakteristické, například sekvencí zasílaných paketů nebo 2

7 řetězci, které pakety obsahují. IDS systém může být navrhnut tak, aby sledoval právě tyto situace. Opakem je využití tzv. brute-force, hrubé síly. V tomto případě útočník zasílá naprosto legitimní požadavky, avšak v takovém množství, že dojde k zahlcení a přetížení serveru. Zdroje každého zařízení i linky jsou totiž omezené a lze je proto vyčerpat. Tento přístup je realizován právě DDoS útoky a vyžaduje spolupráci velkého množství útočících strojů. Obrana proti DDoS je obtížná, avšak ne nemožná. IDS systém může například porovnávat aktuální sít ový tok s databází schémat typického chování a odhalit tak nejrůznější anomálie. V souvislosti s útoky typu DDoS je třeba dodat, že zasílání škodlivých požadavků většinou neprovádí přímo útočník (nebo útočníci), ale infikované stroje nic netušících uživatelů. V první fázi proto musí dojít k jejich infiltraci, aby útočník dostal pod svoji kontrolu dostatečné množství počítačů, tzv. zombie. Jednou z metod jak toho dosáhnout je opět sít ový útok zneužívající určitou bezpečnostní díru v některé aplikaci, která mu umožní dostat na hostitelský počítač program realizující další fáze útoku. Avšak i zde lze nasadit prevenci v podobě IDS systému pro analýzu sít ového toku a zastavit tak potenciální DDoS útok již v této fázi. Tato práce se zabývá analýzou obecných nedostatků IDS systémů a zkoumáním technik, které mohou vést k jejich zneužití. Jako referenční IDS systém byl zvolen open-source projekt Snort [6], jež vyniká svojí konfigurovatelností a širokou škálou možností použití. Kapitola 1 popisuje základní typy IDS systémů se zaměřením na jejich přednosti a slabiny. V tomto směru pokračuje kapitola 2, která se zabývá již konkrétními metodami, jak lze IDS systému zamezit v detekci útoku. Kapitola 3 shrnuje návrh a realizaci aplikace, jež využívá technicky zmíněné v předchozí kapitole a pomocí níž budeme provádět testování. Zhodnocení těchto testů následuje v kapitole 4. 3

8 Kapitola 1 IDS systémy Po nezbytném uvedení do problematiky se nyní vrátíme k vlastním IDS systémům. Ačkoliv předchozí kapitola obsahovala několik náznaků, ze kterých lze vypozorovat jejich základní rysy, pro pochopení postupů z kapitoly 2 je třeba IDS systémy představit detailněji a zaměřit se především na praktickou stránku jejich činnosti. 1.1 Základní charakteristika IDS systém je program monitorující sít ový tok za účelem odhalení nežádoucí aktivity, nejčastěji pokusů o proniknutí do chráněného systému. Základní schéma IDS systému navrha v roce 1986 Dorothy E. Denning a její práce vyústila ve vytvoření IDES (Intrusion detection expert system), předchůdce dnešních IDS systémů [18]. Na tuto iniciativu navázal Stuart Staniford-Chen, když definoval CIDF (The Common Intrusion Detection Framework) [11]. Jedná se o jednoduchý model skládající se z několika bloků, které reprezentují strukturu a chování typického IDS systému. I přesto, že v dnešní době existuje velké množství nejrůznějších produktů, základní schéma CIDF sdílí všechny z nich CIDF CIDF definuje 4 základní bloky označované jako E (event generators, generátory událostí), A (analysis engines, nástroje pro analýzu), D (storage mechanism, úložiště dat) a C (countermeasures, protiopatření). Toto schéma je znázorněno na obrázku 1.1. Generátory událostí složí jako vstupní brána do systému, sledují dění na síti a zaznamenané informace předávají ke zpracování. V jednodušší formě se může jednat o prosté kopírování paketů, častěji však dochází i k jejich zpracování (například defragmentaci), což z pohledu dalších bloků zvyšuje úroveň abstrakce a napomáhá detekci skrytých útoků. Blok A je mozkem celého systému, protože se zabývá analýzou získaných informací podle množiny nadefinovaných pravidel. Výstupem jsou většinou záznamy předané bloku D k uložení, případně příkazy zaslané bloku C. Ačkoliv by se mohlo zdát, že ukládání získaných výsledků blokem D je triviální záležitost, opak je pravdou. Vzhledem k obrovskému množství dat na síti je třeba navrhnout rychlý a úsporný systém, v opačném případě hrozí zahlcení IDS systému, který tak přestane plnit svoji funkci. V dnešní době je často možné volit ukládání výsledků do databáze, nebo například zasílat výsledky přes BSD sockety jiné aplikaci [16]. 4

9 C-blok Protiopatření A-blok Nástroje pro analýzu D-blok Úložiště dat E-blok Generátory událostí datový tok Obrázek 1.1: CIDF Posledním prvkem je blok, pomocí které může IDS systém na základě detekce útoku iniciovat nejrůznější protiopatření. S trochou nadsázky může i pouhé generování hlášení pro obsluhu považovat za protiopatření. Moderní systémy jsou však mnohem sofistikovanější a umožňují např. komunikovat s firewallem a dynamicky měnit jeho nastavení nebo automaticky ukončit podezřelé sít ové spojení [16, 15]. Systémům s posledně jmenovanými vlastnostmi se bude věnovat následující podkapitola IPS Smyslem IDS systému je především detekovat určité události. Postupným vývojem se však pole jejich působnosti dále rozšiřovalo a dnešní systémy nabízejí kromě vlastní detekce i další služby, které pomáhají bojovat proti útokům. Snižuje se tak důležitost uživatelského dohledu, protože IDS systém vybavený těmito technikami je v případě detekce útoku sám schopen schopen zakročit, například uzavřením spojení. Tento přístup klade mnohem vyšší nároky na kvalitu zpracování a je nesmírně důležité, aby systém detekoval pouze malé procento tzv. false positives (mylné označení spojení za nebezpečné). V případě úspěšné realizace se však stává daleko mocnějším nástrojem, než je tradiční IDS systém. Proto byl definován pojem intrusion prevention system (systém prevence průniku, IPS), který lépe vystihuje chování takto vybavených systémů. I přes výše zmíněná fakta je však třeba dodat, že pojem IPS systém se v současnosti používá spíše výjimečně. Nebývá totiž chápán jako opak, či alternativa IDS systémů, nýbrž 5

10 jejich specializace. I v této práci se proto nadále bude užívat především dosavadního termínu IDS systém, přičemž se nejčastěji bude jednat o systémy schopné i operací typických pro IPS systémy. 1.2 Typy IDS systémů Nyní, když jsme se seznámili s principy chování IDS systémů, je třeba specifikovat rozdělení IDS systémů do několika kategorií, na které se následující kapitoly budou odkazovat. Ačkoliv existují odborné práce zabývající se touto tematikou do hloubky a definují podrobnou kategorizaci dle spousty kritérií (např. [9, 12]), pro účely této práce postačí pouze jednoduché dělení na základě hrubých rysů Klasifikace podle činnosti Jako první se nabízí rozdělit IDS systémy podle činnosti, kterou vykonávají. Do této oblasti již částečně pronikla předchozí kapitola při popisu IPS systémů, my se však zaměříme spíše na činnost bloku A (nástroje pro analýzu) podle CIDF schématu (viz obrázek 1.1). Z tohoto pohledu se nabízí 4 základní kategorie: systémy pro logování (paket loggers) systémy pro vyhledávání vzorů (signature scanners) systémy pro detekci anomálií (anomaly detectors) systémy zajišt ující integritu (integrity monitors) Systémy pro logování Systémy pro logování představují nejjednodušší formu IDS systému. Jejichž činnost spočívá v prostém zaznamenávání sít ových událostí z nadefinovaných oblastí. Tyto záznamy lze pořizovat v nejrůznějších podobách. Na jedné straně stojí čistý přepis TCP/IP paketů ze sítě, případně zasazený do kontextu ustanovených spojeních, opakem může být záznam dotazů některého z protokolů aplikační vrstvy. Například HTTP požadavků na webový server, jak znázorňuje následující výpis [14]: [14/01/02:09:48:14] "HEAD /cgi-bin/test-cgi HTTP/1.0" [14/01/02:09:48:14] "HEAD /cgi-bin/nph-test-cgi HTTP/1.0" [14/01/02:09:48:14] "HEAD /cgi-bin/phf HTTP/1.0" [14/01/02:09:48:14] "HEAD /cgi-bin/phf.pp HTTP/1.0" Takto získané záznamy lze dále zpracovávat, často jinou aplikací, případně manuálně za pomoci jednoduchých systémových nástrojů jako např. grep. Pochopitelně závisí na způsobu uložení záznamů, k binárnímu přepisu paketů budeme přistupovat jinak, než k datům v prostém textu [16]. Stejně tak záznamy uložené v databázi vyžadují naprosto odlišné softwarové vybavení. I přes zdánlivou jednoduchost těchto systémů nám jimi pořízené výsledky mohou pomoci např. zpětně získat přehled o útocích v podobě určitých HTTP dotazů na námi sledovaný webový server. 6

11 Systémy pro vyhledávání vzorů Systémy pro vyhledávání vzorů představují asi nejtypičtější podobu IDS systému. Svým chováním se podobají antivirovým programům, protože skenují vstupní data (v tomto případě sít ový tok) a porovnávají jednotlivé byty na shodu s nadefinovanými řetězci, které značí nežádoucí aktivitu. U těchto systémů je kladen důraz především na efektivitu, kvůli nutnosti analýzy sít ového toku v reálném čase. Užitečnost roste, pokud se jedná o stavové systémy, které jsou schopné udržovat si kontext probíhající komunikace. Velmi pokročilou vlastností může být dále například schopnost rekonstruovat fragmentované datagramy. Účinnost těchto systémů bývá většinou na vysoké úrovni, protože mají za sebou mnoho let vývoje a mohou přebírat postupy z příbuzných oborů. Vlastní úroveň ochrany však vždy závisí na kvalitní databázi škodlivých vzorů a pravidel, která řídí vlastní prohledávání, a také na úrovni interpretace sít ového toku. Systémy pro detekci anomálií Zatímco předchozí skupina je charakteristická jasnými pravidly, kde záleží na shodě každého bytu, systémy pro detekci anomálií jsou pravým opakem. Tyto produkty vychází z předpokladu, že existuje normální využití sít ových prostředků a významné statistické odchylky tedy mohou indikovat nežádoucí činnost. Může se jednat bud o pevně nadefinované situace (např. příliš fragmentovaných datagramů, neobvyklé hodnoty v hlavičkách paketu,... ), nebo o komplexní scénáře sít ové komunikace jako takové. Pak je před nasazením třeba provést důkladnou analýzu sít ového prostředí a její výsledky uložit do databáze znalostí, kterou bude systém při svém běhu využívat. Produkty mohou využívat pokročilé postupy založené na heuristice a je také vhodné, aby byly schopny automaticky doplňovat svoji databázi normálních schémat využití sítě a tím se učit. Hodnocení systémů pro detekci anomálií je problematické a více než u ostatních závisí i na místě nasazení. Pro určité služby, jako například pravidelně využívaný WWW server, mohou dosahovat vynikajících výsledků. V jiných oblastech, kde je chování sít ových uživatelů méně předvídatelné, naopak zcela selhávat. U těchto systémů bývá zvykem, podobně jako u první skupiny, manuální verifikace výsledků uživatelem. Systémy zajišt ující integritu Poslední skupinou jsou systémy zajišt ující integritu, které se od tradičních IDS systémů již poněkud vzdalují. I přesto mají stále souvislost se sít ovým provozem a často se vyskytují nikoliv samostatně, ale jako doplněk většího IDS systému. Tyto produkty se nesnaží zamezit útokům hned v počátku, ale sledují jejich následky. Toho je v praxi dosaženo monitorováním souborů a konfigurace chráněného systému za pomoci kontrolních součtů, stínových kopií a dalších podobných technik. Aplikace tedy sleduje změny nejrůznějších objektů a v případě neočekávané údálosti generuje příslušnou akci at už pouhé zaznamenání, upozornění uživatele, či přímo spuštění vhodného protiopatření. Tímto přístupem je možné udržet integritu systému, který se snažíme proti útokům zabezpečit. 7

12 1.2.2 Klasifikace podle oblasti působení IDS systémy lze realizovat dvojím způsobem bud jako softwarovou aplikaci, nebo jako hardwarové zařízení. To do značné míry definuje chování produktu, rozlišujeme proto: hostitelské IDS systémy (host-based IDS, HIDS) sít ové IDS systémy (network-based IDS, NIDS) Hostitelské IDS systémy Hostitelské IDS systémy jsou umístěny přímo na počítači, který mají za úkol chránit. Pracují v rámci operačního systému a sledují události, které se na počítači odehrávají často související s aplikační vrstvou sít ového modelu. V případě sít ové komunikace ji tak hostitelský IDS dokáže vidět strukturovaně s vyšší úrovní abstrakce. Není problém odlišit jednotlivé relace a nastavit poměrně jemná detekční pravidla systémů pro vyhledávání vzorů v závislosti na vlastnostech zkoumaných dat. V případě systémů pro logování lze například zaznamenávat jednotlivé HTTP požadavky, aniž bychom se museli starat o skládání fragmentovaných rámců a udržování kontextu TCP spojení. Systémy zajišt ující integritu už z principu nelze realizovat jinak, než jako dohlížející softwarovou aplikaci. Přítomnost hostitelského IDS systému se na sít ovém toku vně nijak neprojevuje, pro útočníka je tak velice obtížné takový systém detekovat, natož se mu při svém útoku nějakým způsobem vyhnout. Tato charakteristika však určuje i slabiny hostitelských IDS systémů. Kvůli přístupu k sít ové komunikaci na nejvyšší vrstvě nemusí být přítomností IDS systému žádným způsobem ovlivněny nízkoúrovňové útoky (např. brute-force (D)DoS). Je také třeba vzít v úvahu, že hostitelské IDS systémy vyžadují instalaci a údržbu na všech zařízeních v počítačové síti a s každou běžící aplikací navíc ztrácíme část výkonu počítače. Pochopitelně čím důkladnější monitoring hostitelský IDS systém provádí, tím je náročnější na výpočetní zdroje. Chráněný počítač se tak paradoxně může stát zranitelnějším proti (D)DoS útokům. Sít ové IDS systémy Částečně opakem jsou sít ové IDS systémy. Jedná se bud o samostatná hardwarová zařízení s vlastním místem v topologii sítě mají tak bezprostřední přístup k sít ovému toku na nejnižší možné úrovni. Nebo o hostitelské aplikace, které však za pomoci speciálních knihoven či nástrojů (např. [3, 5]) přistupují přímo k sít ovým rozhraním a analyzují probíhající komunikaci nezávisle na operačním systému. Díky tomuto má sít ový IDS systém komplexní přehled nad situací na síti. Dokáže proto lépe detekovat například probíhající (D)DoS útok či jiné netypické chování systémy pro detekci anomálií často spadají právě do této oblasti. Další nespornou výhodou je fakt, že jediný (hardwarový) sít ový IDS systém na rozdíl od hostitelského může monitorovat celé segmenty počítačové sítě, nikoliv pouze data určená pro vybraný počítač. I sít ové IDS systémy se zabývají vyhledáváním vzorů, v tomto případě je ale třeba implementovat mechanismy pro skládání fragmentovaných datagramů a ještě lépe pro udržování kontextu TCP spojení. Ideálně by IDS systém měl tyto operace provádět stejným způsobem 8

13 jako ostaní zařízení díky tomu by zkoumaná data byla vždy totožná s těmi, která budou interpretována na chráněném počítači. V praxi se bohužel setkáváme s různými odchylkami, protože zpracování těchto technik se často liší nejen mezi různými operačními systémy, ale i jejich verzemi [15]. Právě tento problém je pro vývojáře IDS systémů jedním z nejzásadnějších. Hlavní nevýhodou (hardwarových) sít ových IDS systémů je, že zařízení tohoto typu nemá žádné informace o stavu počítačů v síti. I hostovaná aplikace přistupuje k příchozí komunikaci ve vlastní režii. Toto může způsobit nekonzistentní stav mezi IDS systémem a cílovým operačním systémem, čehož může případný útočník zneužít. Problémem jsou také formy zabezpečeného spojení, např. o tunelování pomocí technologií typu IPsec nebo VPN. V neposlední řadě je třeba vzít v potaz i ryze praktické aspekty pro správnou funkci je třeba systém vhodně nakonfigurovat a pravidelně aktualizovat, což bývá komplikované nejen u hardwarových zařízení, ale i v případě softwarového IDS systému. Existují dva různé přístupy, které de facto prezentují rozdíl mezi prostým IDS systémem a IPS systémem. Dělení lze uplatnit i na softwarové IDS systémy, u samostatných sít ových prvků má však mnohem výraznější vliv na jejich konstrukci a způsob zapojení. V prvním případě lze produkt nazvat sniffer. Jedná se o zařízení, které dostává pouze kopii datového toku. V topologii sítě tedy není nutné aby mělo vlastní IP adresu, díky čemuž se stává prakticky nezjistitelným. Na druhou stranu činnost těchto IDS systémů se omezuje pouze na pasivní monitorování a analýzu, bez spolupráce s dalším produktem (např. firewallem) nemůže žádným způsobem zasahovat do sít ové komunikace. Opakem jsou zařízení která můžeme označit jako filtry. Veškerá data v tomto případě procházejí přes IDS systém, který má na základě analýzy a množiny pravidel možnost rozhodovat o propuštění, či zahození paketu. Na jednu stranu tím získáme skutečně reaktivní bezpečnostní složku, na stranu druhou se takový prvek může stát slabým článkem sítě. Úspěšně vedený útok, nejčastěji typu (D)DoS, na vlastní IDS systém ponechá pokrytý segment sítě bud zcela otevřený dalším útokům, nebo naopak nedostupný všem vnějším požadavkům. Podle tohoto označujeme zařízení jako fail-open (v případě selhání ponechá sít přístupnou), nebo fail-closed (v případě selhání sít uzavře). Oba stavy se z hlediska útočníka mohou jevit jako výhodné, vždy záleží na konkrétní situaci. Nemusíme se však zaměřovat pouze na tyto extrémní případy, i přirozená vlastnost IDS systému jako třeba nedostatečná propustnost může způsobit nežádoucí omezení rychlosti sít ové komunikace Doplňující poznámky Předchozí klasifikace je do jisté míry pouze formální. V praxi se často setkáváme s tím, že IDS systémy ve své funkci pokrývají hned několik oblastí. I zdánlivě zcela oddělené kategorie hardwarových a softwarových řešení se někdy mohou překrývat. Pokud bychom výkonný softwarový IDS systém s požadovanými vlastnostmi (které splňuje např. Snort) nainstalovali na dedikovaný počítač a ten poté vhodně zapojili do sítě, vzniká téměř plnohodnotný hardwarový IDS systém. Pochopitelně bez rychlosti hardwarového zpracování dat a i úroveň přístupu k síti by byla stále limitována jádrem operačního systému. Na druhou stranu se jedná o dostupné a snadno konfigurovatelné řešení. Zcela odlišnou skupinou jsou rozsáhlá integrovaná řešení, která kombinují množství nejrůznějších aplikací a zařízení pod jednotnou zprávou za účelem komplexního zabezpečení počítačové sítě na více úrovních. Tento typ IDS systémů se vymyká obvyklé kategorizaci a často bývá navrhován na míru. 9

14 Kapitola 2 Techniky obcházení IDS systémů Následující kapitola se věnuje zkoumání technik použitelných pro obejítí IDS systémů za účelem následného testování jejich účinnosti. Výše uvedený přehled však ukázal, že záběr je velmi široký. Proto se ve zbytku této práce zaměříme na analýzu pouze jedné skupiny, a to sít ových IDS systémů pro vyhledávání vzorů. Smyslem IDS systémů pro vyhledávání vzorů je číst sít ový tok a vyhledávat v něm nežádoucí řetězce definované databází pravidel. Budeme se proto věnovat analýze technik, jejichž použitím lze do chráněné sítě dopravit škodlivá data, aniž by to IDS systém zaznamenal. Extrémní postupy jako např. odstavení vlastního IDS systému (fyzickým přístupem, průnikem do administrátorského rozhraní, DoS útokem,... ) nechme stranou a zaměřme se na sofistikované metody založené na modifikaci sít ového toku. Z tohoto pohledu existuje prakticky jediný princip, jak dosáhnout požadované situace způsobit rozdílnou interpretaci na IDS systému a cílovém počítači, a to vhodnou modifikací sít ového toku. 2.1 Základní rozdělení a charakteristika Podle toho, na jaké úrovni a jakým způsobem k modifikaci dochází, lze odlišit dvě skupiny používaných technik. V prvním případě se mění pouze vlastní uživatelská data, způsob jejich následného přenosu po síti není podstatný. Druhá skupina se naopak soustředí na tzv. packet forgery, tedy analýzu a přetváření celých paketů, což v důsledku ovlivní i nesená data Modifikace dat Princip těchto postupů je spjat s aplikační vrstvou a spočívá v myšlence, že tentýž požadavek lze zapsat několika různými způsoby. Jako příklad nám poslouží klasický útok na cgi-bin skript phf běžící na webovém serveru. Kvůli chybě v implementaci bylo možné jediným HTTP dotazem získat jakýkoliv soubor ze serveru [8]. Požadavek realizující tento útok začíná typicky následovně [14]: GET /cgi-bin/phf? Kde za otazníkem následuje kód, který chce útočník pomocí skriptu vykonat. Kritckým řetězcem, který bude IDS systém vyhledávat, je proto posloupnost /cgi-bin/phf obsažená v URL HTTP dotazu. 10

15 Příklad lze však poměrně snadno upravit na: GET /cgi-bin/nějaká_složka/../phf? Vstup do složky realizovaný /nějaká složka a následný krok zpět /.. se vzájemně vyruší. Tento požadavek bude tedy na serveru interpretován stejným způsobem, jako předchozí neupravená varianta. Z pohledu IDS systému se však jedná o zcela odlišný řetězec a k prosté shodě na vzor /cgi-bin/phf nedojde. Na podobném principu funguje například nahrazování znaků v URL řetězci jejich číselnou reprezentací pomocí techniky url encoding. Viz následující ukázka [14] reprezentující tutéž cestu zapsanou dvěma různými způsoby: /cgi-bin/phf %2Fcgi%2Dbin%2Fphf Těmito dvěma příklady výčet nekončí, jenom v oblasti zápisu URL existuje celá řada dalších podobných technik vycházející z robustnosti HTTP protokolu. A podobný princip lze aplikovat i na další protokoly vyšších sít ových vrstev. Jedná se o metodu velmi názornou a snadnou na provedení, jedinou nevýhodou je úzká provázanost s konkrétním aplikačním protokolem a v mnoha případech tedy nutnost manuálního zpracování. Z hlediska IDS systému je detekce takto maskovaných útoků naopak velmi obtížká, jednoduché vyhledávání vzorů zde ztrácí smysl, je třeba data analyzovat na velmi vysoké úrovni. S tím však souvisí nároky na kvalitu implementace analyzátoru v A-bloku podle CIDF (1.1.1) a také na výkon zařízení Modifikace paketů Následující techniky vychází z otevřenosti a relativní jednoduchosti architektury TCP/IP. Je možné vytvořit prakticky jakýkoliv paket a ten poté podvrhnout do legitimní sít ové komunikace. Pokud není využit některý z typů zabezpečeného spojení, ani jedna ze stran nemusí zásah zvenčí nijak zaregistrovat. V rámci experimentování s IDS systémy se tedy nabízí vyzkoušet nejrůznější nestandardní, či abnormální konstrukce a sledovat, kdy je paket IDS systémem zpracován jinak, než cílovým zařízením. V praxi však nedochází ani tak k odlišenému zpracování, jako spíše k odlišenému rozhodnutí o tom, zda vůbec zpracováván bude, či nikoliv. Toto může nastat dvěma způsoby bud IDS systém paket přijme a počítač nikoliv, nebo naopak. Podle [15] tuto situaci můžeme z pohledu IDS systému v prvním případě nazvat jako insertion ( vkládání ), zatímco opakem je evasion ( uhýbání ) Insertion Techniky typu insetion využívají prokládání datového toku pakety, které přijme pouze IDS systém. Ten potom komunikaci interpretuje chybně a neodhalí skrytý řetězec sít ového útoku. Situaci znázorňuje obrázek 2.1. Příčinou tohoto jevu může být nedostatečná důslednost IDS systému při validaci příchozích dat, kdy je přijat i paket, který by měl být správně zahozen (např. kvůli chybnému kontrolnímu součtu, nesmyslné velikosti, chybějící některé z položek,... ). Mohou však nastat i situace, kdy se IDS systém chová relativně správně, ale nebere v úvahu vnější vlivy, jako je topolgie sítě, nebo chování jiných zařízení. Na IDS systém může dorazit naprosto 11

16 IDS systém T X A K A C T A T T A řetězec se neshoduje se vzorem útoku Cílový počítač X C A T T A C K K X škodlivý kód přijat Obrázek 2.1: Insertion legitimní paket, který je však později zahozen např. kvůli nízké hodnotě MTU navazující linky, nebo na základě snížení TTL na nulu. Nebo má IDS systém implementován TCP/IP stack po vzoru unixových systémů, zatímco počítače v síti používající Windows aplikují na příchozí data mírně odlišnou politiku. Ke konkrétním příkladům se dostaneme v podkapitole 2.2, i bez nich lze však usoudit, že učinit IDS systém netečný vůči insertion je úkol velmi náročný. Obzvláště v případě hardwarových produktů, které musejí pokrýt sít složenou z různých zařízení, a tedy se vypořádat s drobnými odchylkami v jednotlivých implementacích protokolové analýzy. Evasion Pravým opakem je tzv. evasion, tedy situace, kdy se legitimnímu paketu podaří vyhnout se kontrole IDS systémem. Toto způsobí, že IDS systém přijme pouze část sít ového toku a během analýzy se mu nepodaří objevit datový vzor indikující útok. Pro pochopení poslouží nejlépe opět grafická reprezentace, viz obrázek 2.2. IDS systém T A K A C T C T řetězec se neshoduje se vzorem útoku Cílový počítač A T A K A T T A C K škodlivý kód přijat Obrázek 2.2: Evasion 12

17 Zatímco insertion způsobuje často nedůslednost IDS systému, v případě evasion může být na vině naopak jeho přehnaná přísnost. Kritické oblasti hlaviček protokolů jsou ale v zásadě podobné kontrolní součty, údaje o velikost dat, abnormální chování sekvenčních čísel,... Obecně vzato může evasion být více nebezpečné, než technika insertion. Z pohledu útočníka je vždy výhodnější, když IDS systém škodlivá data vůbec neobdrží, než když je pouze špatně děkóduje. Pokud se podaří např. zmást modul pro sledování TCP relací a vyvolat mylný dojem, že určité spojení bylo uzavřeno, stává se IDS systém slepým a útočník může pracovat naprosto bez omezení. Na druhou stranu je provedení evasion obtížnější, protože externí faktory znevýhodňující IDS systém (jako např. techniky s TTL nebo MTU nastíněné u insertion) nehrají tak velkou roli a závisí především na vlastní kvalitě zpracování IDS systému. Nejen techniky vycházející z principu evasion uvede do konkrétních příkladů následující podkapitola Vybrané techniky nad IPv4 a TCP Při modifikaci sít ového toku je nutné dodržovat zásady vrstvového modelu počítačových sítí a principu zapouzdření. Existují tak techniky na různých vrstvách, které mohou být v zásadě podobné, nebo naopak velmi specifické na základě struktury daného protokolu vždy ale naprosto nezávislé napříč vrstvami. Podkapitola se zabývala některými obecnými principy, které mohou být použity na aplikační vrstvě. Pokud se však chceme zabývat datovým tokem obecně a neprovádět detailní analýzu každého jednotlivého aplikačního protokolu, je třeba přesunout se níže. Pilířem architektury dnešní sít ové komunikace je bezesporu dvojice IP (stále ještě ve verzi 4) a TCP. Nespornou roli hraje i UDP, avšak vzhledem ke způsobu užití se jím zde nemá smysl zabývat. Následuje popis několika základních technik nad protokoly IPv4 a TCP, který byl zpracován na základě [15] IPv4 sít ová vrstva Protokol IP verze 4 má poměrně jednoduchou hlavičku, která neposkytuje žádné prostředky ke stavové komunikaci, potvrzování spojení, ani jeho autentikaci. Díky tomu je snadné vytvořit prakticky jakýkoliv IP datagram a vložit jej do sít ového toku. Pokud je škodlivý kód odeslán v jediném datagramu, pouhá modifikace jeho hlavičky často nestačí. Je vhodnější využít prokládání zmíněné při popisu techniky insertion. Toho je možné dosáhnout díky fragmentaci, která tvoří základ většiny technik obcházení IDS systémů na sít ové vrstvě. Fragmentace Fragmentace je prostředek, který IPv4 zavádí kvůli rozdílným vlastnostem různých přenosových médií a umožňuje příliš dlouhé datagramy rozdělit na více menších fragmentů každý z nich je potom opatřen vlastní hlavičkou. Nic však nebrání tomu, vytvořit fragmenty naprosto záměrně, a to i v případě, že by celý datagram obsahující škodlivý řetězec měl délku pouze několika desítek bytů. 13

18 pořadí zasílání fragmentů Už samotná fragmentace může některým jednodušším IDS systémům činit určité obtíže, protože pro správnou interpretaci dat musí být poté implementovány techniky pro opětovné skládání jednotlivých fragmentů. Za normálních okolností se jedná o prosté řazení příchozích dat za sebe, ne však vždy. Z principu přepínaných sítí vyplývá, že každý paket může k cíli dorazit jinou cestou, a tedy s různým zpožděním. Jednotlivé fragmenty tak IDS systém může přijmout v jiném pořadí, než v jakém mají být řazeny za sebe pro rekonstrukci původního datagramu. Zde už se nároky na IDS systém zvyšují, protože musí obsahovat buffer pro příchozí data, monitorovat jednotlivé fragmenty a ke skládání (a následné analýze dat) přistoupit teprve až má v paměti všechny z nich. Duplicitní a překrývající se data Fragmentace dále umožňuje namodelovat situace, které už v běžném datovém toku nejsou tak obvyklé a představují tedy určitou zkoušku schopností IDS systému. Lze například určitý fragment vyslat 2x, pokaždé s jinými daty. Vezme v IDS systém při skládání v úvahu ten, který přijde první, nebo naopak novější? Toto nastavení zřejmě ovlivní následnou interpretaci dat. Dalším problémem jsou překrývající se data. Při fragmentaci je v hlavičkách jednotlivých datagramů vyplněna hodnota offset, která udává umístění neseného zlomku dat v násobcích 8 bytů. Pro demostraci mějme datagram rovnoměrně rozfragmentován na nejmenší možné části, tedy 8bytové úseky dat 1. Datagram s položkou offset nastavenou na číslo 2 je tedy 3. fragment a nese byty Pokud ovšem datovou část prvního fragmentu dodatečně zvětšíme, například dvojnásobně, opět nastává situace duplicitních dat. Z pohledu kompletního řetězce dat jsou byty 8-16 neseny jak v druhé polovině prvního fragmentu, tak obsahem druhého. Tento případ, který bývá označován jako overlapping (překrývání), demonstruje obrázek 2.3, přičemž fragmenty jsou zasílány v zpřeházeném pořadí, jak by tomu bylo i v praxi. Překrývání potom může být typu forward-overlapping nebo reverse-overlapping, podle směru prodloužení dat. V závislosti na tom, jakým způsobem k překrývání dochází a v jakém pořadí jsou fragmenty zpracovány, může IDS systém data rekonstruovat chybně, a tak přehlédnout škodlivý řetězec. A T X T A C K IDS systém A X T A novější data jsou platná neškodný kód Cílový počítač C K A T T A C K první data jsou platná útok Obrázek 2.3: Překrývání fragmentů 1 Na obrázcích jsou osmibytové bloky reprezentovány jediným znakem 14

19 pořadí zasílání fragmentů Manipulace s položkami IPv4 hlavičky Již v podkapitole byly zmíněny techniky úpravy některých položek hlaviček paketů za účelem jejich misinterpretace. Toto lze v určitých mezích použít i na pakety nesoucí celý škodlivý kód, další možnosti se však otevírají při kombinaci s fragmentovaným datagramem. Vycházejme z předchozího příkladu s duplikovaným fragmentem, kde první duplikát nese část škodlivého řetězce (písmeno T ) a druhý naopak nesmyslná data (písmeno X ). Předpokládejme, že IDS systém provádí skládání fragmentů stejným způsobem, jako počítače v síti a jako významná bere prvně příchozí data. Je tak interpretován řetězec ATTACK a IDS systém generuje hlášení o útoku. Pokud je ale druhému fragmentu s písmenem T změněn kontrolní součet na nesmyslnou hodnotu, výsledek pokusu se může změnit, viz obrázek 2.4. IDS systém pečlivě validující hlavičky datagramů takový fragment odmítne a v úvahu vezme podvržená data reprezentovaná písmenem X. Na druhou stranu cíl útoku může tuto kontrolu provádět nedostatečně, i přes neplatný kontrolní součet fragment s T přijmout a vystavit se tak útoku, který zůstal IDS systémem nespozorován. A T X T IDS systém A X T A T je neplatné, příjem X neškodný kód C K T A C K X Cílový počítač A T T A C K přijímá T, duplcitní X zahazuje útok Obrázek 2.4: Duplicitní fragment s upravenou hlavičkou V tomto podání se jedná o typický příklad techniky evasion. Pochopitelně však může nastat i obrácená situace, kdy předpokládáme, že IDS systém fragment s neplatným kontrolním součtem přijme, kdežto cílový počítač jej zahodí a v úvahu vezme fragment duplicitní. Tehdy bychom mluvili o insertion. Analogicky lze přistupovat i k položce udávající verzi protokolu, nebo TTL (time-tolive). V prvním případě je základní princip podobný jako u kontrolního součtu různé implementace analyzátorů protokolu a tedy různá úroveň kontroly jednotlivých údajů. U TTL potom odlišné chování způsobí fakt, že inkriminovaný fragment může dorazit k IDS systému, ale už ne k cíli útoku TCP transportní vrstva TCP disponuje prostředky pro stavovou komunikaci, plně duplexní spojení, potvrzování přijatých dat a tím pádem i detekci chyb. Implementace algoritmů pro zpracovávání TCP relací je netriviální záležitost, z čehož pramení možné slabiny IDS systémů. Ty jsou navíc v poměrně nevýhodném postavení IDS systém přistupuje k sít ovému toku jako pouhý 15

20 pozorovatel, na rozdíl od komunikujících stran si nemůže např. zažádat o znovuzaslání určitého paketu. Segmentace a obdoba technik nad IP Jednotlivé TCP pakety nenesou oddělené bloky dat, ale vzorkují tok bytů představující komunikaci vyšších sít ových vrstev. Z pohledu vlastní datové složky se jedná o techniku velmi podobnou fragmentaci nad IPv4. Protože bývají TCP pakety často nazývány segmenty, pro účely následujícího výkladu zaved me termín segmentace. Jedním z mála rozdílů je fakt, že členění nad TCP není omezeno na násobky 8bytových bloků segment může nést i jediný byte. Na této úrovni se tedy možnosti TCP překrývají s množinou technik nad IPv4. Je opět možné rozdělit škodlivý řetězec do několika segmentů, případně zamíchat jejich pořadí nebo duplikovat některé z nich. Dále modifikovat nesená data či způsobit jejich překrývání se. Co se týče přímého nahrazování hodnot položek v hlavičce, nad TCP je z tohoto pohledu využitelná pouze jediná, a tou je opět kontrolní součet. Vlastnosti a příklady použití jsou i v tomto případě analogické k IPv4. Řízení toku TCP zajišt uje spolehlivé spojení, doručení jednotlivých segmentů proto musí být druhou stranou potvrzováno. Také se jedná o stavový protokol, před samotnou výměnou dat proto dochází k inicializační sekvenci známé jako three-way-handshake (3WH), která ustanoví spojení. Stejně tak jsou implemetovány mechanismy pro jeho ukončení. Třetí související vlastností je duplexnost spojení, díky čemuž může jediný segment nést data, a zároveň potvrzovat přijetí dat opačného směru. Z těchto důvodů představuje TCP spojení mnohem složitější mechanismus, než je prosté rozfragmentování ohraničeného bloku dat. Příslušnému analyzátoru musí být při implementaci IDS systému věnována zvláštní pozornost, jak naznačuje i preprocesor stream5 uváděný v [16]. Kvůli tomu lze předpokládat, že jednotlivé implementace mohou zejména v různých nestandardních situacích podávat odlišené výsledky. Nabízí se tedy otestovat chování IDS systému právě v případě, kdy úmyslně vytváříme ony nestandardní situace. V následujícím popisu předpokládáme, že se čtenář seznámil s architekturou TCP. Dostatečně zevrubný výklad by se totiž vymykal rozsahu této práce. Relevantní položky hlavičky jsou sekvenční číslo, potvrzovací číslo, blok kontrolních bitů/příznaků a tzv. volby (TCP options). Základní problém tkví v tom, že hodnoty těchto položek nelze jednoznačně prohlásit za platné, či neplatné, jak je tomu např. u kontrolního součtu. Volby mohou nést například časová razítka, která spojení napomáhají určit čas doručení paketu a zároveň za pomoci techniky PAWS zabraňují přetečení sekvenčních čísel. Ta dokáže identifikovat neplatné pakety na základě hodnoty časového razítka, více o této technice např. v [1, 10]. Opět se nabízí časové razítko vybraného segmentu záměrně poškodit (tedy snížit na hodnotu, která označí paket za prošlý ) za účelem zmatení IDS systému. Ten totiž tento pokročilý mechanismus nemusí mít implementován a tak segment na rozdíl od cílového počítače přijme. Kontrolní příznaky upravují chování daného segmentu, především ve fázi ustanovení, nebo naopak ukončení spojení. Pro obyčejný segment vytržený z datového toku je pak zajímavý 4. bit označovaný ACK. Pokud je tento bit nastaven, je hodnota potvrzovacího 16

21 čísla významná. Ve funkčním spojení přitom nese platné potvrzovací číslo každý paket, explicitním vynulováním příznaku ACK tedy vzniká patologická situace, na kterou musí IDS systém správně reagovat. Nejdůležitější položkou pro běžící TCP relace jsou sekvenční čísla. Pomocí nich si analyzátor udržuje kontext a rekonstruuje segmentovaná data. Umělými zásahy v tomto místě lze otestovat flexibilitu a robustnost komunikace na bázi protokolu TCP a odhalit případné implementační nedostatky IDS systému. Toho lze dosáhnout například neočekávanou změnou sekvenčních čísel o zadanou konstantu. Nebo prokládáním spojení duplikovanými segmenty s upravenými sekvenčními čísli, čímž vzniknou dva paralelní stejnosměrné toky dat v rámci jedné relace. Manipulace s TCB TCB (TCP control block) je označení pro jedinečnou instanci protokolového analyzátoru (nejen) na IDS systému. Ta při správné funkci vzniká na základě ustanovení TCP spojení a zaniká s jeho ukončením. Pro každou sledovanou relaci tedy na IDS systému existuje jeden TCB. Zatímco postupy uvedené výše se zabývaly úpravou jednotlivých segmentů za účelem jejich vytržení z kontextu, nyní naši pozornost zaměříme na manipulaci s TCP spojením jako celkem. Smysl je jasný, pokud IDS systém TCB nevytvoří včas, nebo předčasně uzavře, část datového toku může zůstat zcela bez dohledu. Jednou z možností, jak otevírat TCB, je sledovat úvodní sekvenci paketů sloužící k vytvoření spojení tedy 3WH (three-way-handshake). V ideálním případě potom jednotlivé TCB korespondují s každou korektně ustanovenou relací. Požadavky zasílané útočníkem však nemusí být ani zdaleka ideální, použitím některé z evasion technik je teoreticky možné skrýt některý z 3WH paketů, IDS systém proto nezaznamená platný 3WH a TCB nevytvoří. Některé IDS systémy proto TCB otevírají už na základě částečného 3WH. I tento přístup má však svoje slabiny, každý otevřený TCB pochopitelně spotřebovává část výpočetních zdrojů, IDS systém se tak vystavuje možnosti (D)DoS útoku využívajícího falešné pakety tvářící se jako 3WH. Existuje proto i odlišný postup, kdy IDS systém zcela ignoruje 3WH, monitoruje všechny pakety a orientuje se výhradně podle sekvenčních čísel. V tomto případě mluvíme o synchronizaci pomocí dat. IDS systém poté hledá škodlivé řetězce ve všech procházejících paketech. Vyhnout se takové kontrole je poměrně obtížné, na druhou stranu vzniká obrovské riziko false-positives. Uměle vytvářené pakety nenáležící k žádnému spojení IDS systém zbytečně zatěžují a mohou být využity k insertion technikám. Někdy proto bývají v úvahu brány SYN pakety, aby IDS systém získal alespoň částečnou představu o struktuře datového toku. Zanikání TCB by mělo koresponodvat se skutečným uzavřením TCP spojení. To může být ukončeno korektně paketem FIN s potvrzením, nebo nuceně paketem RST. Typicky je snahou útočníka ukončit TCB na IDS systému, zatímco skutečné spojení zůstane stále aktivní a schopné přenášet škodlivý kód. I opačný případ však není žádoucí neukončený TCB nejen že spotřebovává zdroje, ale také může způsobit chybnou reakci na nové spojení se stejnými parametry (komunikující strany a použité porty). Korektní ukončení spojení je poměrně snadné sledovat, vzhledem k tomu, že vyžaduje potvrzení druhé strany. Útočník sice může falšovat FIT paket, ale neovlivní odpověd serveru. Naopak ukončení pomocí RST je složitější, protože nelze žádnými prostředky zjistit, zda cílový počítač paket skutečně přijal a zpracoval. Opět se zde naskýtá možnost 17

22 využít insertion technik pro úpravu hlavičky a vyslat vhodně modifikovaný RST paket. Je třeba například vzít v úvahu, že RST je platný pouze tehdy, má-li správné sekvenční číslo. Otázkou zůstává, zda všechny implementace TCP analyzátoru toto pravidlo dodržují. Dodatek Výše uvedené myšlenky nepředstavují kompletní výčet technik realizovatelných nad TCP. Jedná se pouze o nástin možností a několik ukázkových příkladů. Zatímco v jednoduchém a striktním protokolu IPv4 se lze požadovaného chování docílit na základě teoretického rozboru, u TCP jsou vzhledem k jeho flexibilitě jednotlivé techniky mnohem více experimentální. Navíc pokročilé postupy nad TCP vyžadují stavovou kontrolu sít ového toku, zatímco u IPv4 stačí upravovat izolované datagramy. 18

23 Kapitola 3 Návrh a realizace aplikace Od teoretického rozboru se dostáváme k vlastní aplikaci, která nám umožní provádět testy a experimentovat s chováním zkoumaného IDS systému. Nejprve si představíme původní myšlenku obsahující základní požadavky vycházející ze zadání. Následuje detailnější návrh, který byl na základě této představy vytvořen, a popis role jednotlivých komponent v systému. Kapitolu uzavírá přehled některých ryze praktických aspektů z vlastní implementace. 3.1 Abstraktní návrh Podobu vytvářeného produktu do značné míry charakterizuje několik základních bodů, které byly koncipovány v prvotní fázi vývoje. Nejvýznamnější jsou tyto: 1. Aplikace mění datový tok tak, aby sít ový útok úspěšně proběhl, ale testovaný IDS systém jej nezachytil. 2. Změny probíhají selektivně pouze na paketech obsahujících škodlivý kód, a to kvůli zachování rozumné míry normálnosti sít ového toku. 3. Škodlivé pakety jsou identifikovány za pomoci IDS systému Snort. 4. Aplikace má podobu sít ového filtru, nezabývá se samotným generováním útoku. Cílem je tedy vytvořit jakýsi sít ový anti-ids systém využívající projektu Snort. Systém v typickém zapojení demostruje obrázek 3.1. Anti-IDS Zdroj útoku IDS systém Cíl útoku Snort Obrázek 3.1: Abstraktní návrh Výše navrhnuté principy by měly přinést několik zajímavých vlastností. Například čtvrtý bod zaručuje určitou univerzálnost aplikace a automatizaci zpracování. Po zapojení anti-ids systému by tak zdrojový počítač mohl provádět zcela běžné uživatelské operace, které mohou a nemusí mít za následek sít ový útok. Stejně tak volbu útoku není 19

24 třeba nijak reflekovat do momentálního nastavení aplikace, snad až na dostatečně obsáhlou databázi pravidel systému Snort. Další zajímavost se vztahuje ke druhém a třetímu bodu o selektivních úpravách: když budeme změny provádět pouze na vybraných paketech, útok by měl být hůře odhalitelný. Pokud bychom například celou komunikaci fragmentovali na několikabytové datagramy, jednalo by se o velmi neobvyklý sít ový tok, který by detektor anomálií pravděpodobně zachytil. Fragmentováním pouze vybraných paketů tuto úroveň podezřelosti značně snížíme. Tento koncept má však i negativní důsledky. V případě manuálního generování útoku i s tvorbou paketů lze ke každému z nich přistupovat individuálně a doladit podobu do nejmenšího detailu a tím zvýšit šanci na úspěch útoku. Na druhou stranu každá taková příprava vyžaduje určité úsilí, na rozdíl od automatizovaného zpracování, kdy je třeba implementovat modifikační algoritmy pouze jednou. Tyto dva přístupy se však zcela nevylučují, určitý druh úprav lze provést i na počítači generující útok a dále využít anti-ids systém. 3.2 Snort Výše specifikovaný návrh se odkazoval na použití aplikace Snort. Proto si nyní tento program řádně představíme a seznámíme se s jeho možnostmi. Autoři jej na oficiálních webových stránkách popisují následovně [6]: Snort je sít ový open-source IPS a IDS systém využívající jazyk pro popis pravidel, která kombinují výhody metod pro vyhledávání vzorů, protokolovou analýzu a detekci anomálií. S milony stažení se jedná o celosvětově nejrozšířenější technologii pro detekci a prevenci průniku tvořící de facto standard v dané oblasti. Existují 4 různé režimy, ve kterých může Snort pracovat. Tyto ve skutečnosti reflektují schopnosti systému od základního dohledu až ke komplexní reaktivní analýze. Dokumentace [16], ze které tato podkapitola vychází, je pojmenovává takto: Sniffer Packet Logger NIDS - Network Intrusion Detection System Snort Inline Smyslem prvního režimu je sledovat zadané rozhraní a vypisovat všechny procházející pakety (nebo jejich části) na obrazovku v dekódovaném, čitelném formátu. Toho je dosaženo prostým spuštěním programu s přepínačem -verbose a jedná se o typický režim pro otestování funkčnosti před další konfigurací. Packet Logger předchozí funkcionalitu rozšiřuje o zaznamenávání paketů do souborů, tedy jejich logování. Podrobně se této technice bude věnovat podkapitola Stále se však jedná o prostý přepis bez možnosti dalšího nastavení. Režim NIDS zavádí subsystém detekčních pravidel a činí ze Snorta výkonný IDS systém. Pakety lze v tomto režimu již zaznamenávat selektivně a dále několika způsoby generovat nejrůznější hlášení. Více v podkapitolách a