Rozproszone systemy detekcji intruzów w sieciach korporacyjnych

Transkrypt

1 Rozproszone systemy detekcji intruzów w sieciach korporacyjnych Marcin Jerzak Mariusz Wojtysiak Poznańskie Centrum Superkomputerowo-Sieciowe Zespół Bezpieczeństwa PCSS

2 Agenda 1. PPBW 2. Włamanie widziane z perspektywy: agresora administratora 3. Co to jest System Detekcji Intruzów? 4. Usprawnianie pracy administratora 5. MetaIDS jako przykład IDS 6. Podsumowanie

3 Polska Platforma Bezpieczeństwa Wewnętrznego Konsorcjum: uczelnie, jednostki naukowobadawcze, służby państwowe, firmy komercyjne PCSS: Zarządzanie informacją i wiedzą w usługach o podwyższonym poziomie bezpieczeństwa Grid Bezpieczeństwa Publicznego System integracji informacji o przestępstwach elektronicznych SOPEL Rozproszony system detekcji intruzów MetaIDS

4

5 Wprowadzenie 20/80 Z wewnątrz Z zewnątrz Ataki Szkody

6 Przykładowe środowisko WWW Baza danych

7 Atak z perspektywy agresora (1) Internet Serwer pocztowy Serwer www Serwer bazodanowy

8 Atak z perspektywy agresora (2) Etap 1: Serwer Apache

9 Atak z perspektywy agresora (3) Internet Serwer pocztowy Serwer www Serwer bazodanowy

10 Atak z perspektywy agresora (4) Etap 2: Skanowanie sieci i atak na usługę SSH aa aah aahed aahing aahs aal aalii aaliis aals aardvark aardwolf aargh aarrgh aarrghh aas aasvogel ab aba abaca abacas abaci aback abacus abacuses abaft abaka abakas abalone abalones. Oct 29 02:12:52 serwer sshd[19109]: Invalid user daniel from Oct 29 02:12:53 serwer sshd[19111]: pam_tally(sshd:auth): pam_get_uid; no such user Oct 29 02:12:53 serwer sshd[19111]: pam_unix(sshd:auth): check pass; user unknown Oct 29 02:12:53 serwer sshd[19111]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost= Oct 29 02:12:55 serwer sshd[19109]: error: PAM: Authentication failure for illegal user daniel from Oct 29 02:12:55 serwer sshd[19109]: Failed keyboard-interactive/pam for invalid user daniel from port ssh2 Oct 29 02:13:33 serwer sshd[19112]: Invalid user daniel from Oct 29 02:13:33 serwer sshd[19114]: pam_tally(sshd:auth): pam_get_uid; no such user Oct 29 02:13:33 serwer sshd[19114]: pam_unix(sshd:auth): check pass; user unknown Oct 29 02:13:33 serwer sshd[19114]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=rrcs west.biz.rr.com

11 Atak z perspektywy agresora (5) Internet Serwer pocztowy Serwer www Serwer bazodanowy

12 Atak z perspektywy agresora (6) Etap 3: Poprawne logowanie do serwera bazodanowego!

13 Atak z perspektywy administrator istratora (1)

14 Atak z perspektywy administrator istratora a (2)

15 Atak z perspektywy administrator istratora (3) kern.log messages.log error.log authlog access.log syslog

16 A rzeczywistość

17 Intrusion Detection System (IDS) - panaceum? Co to jest? Dlaczego jest potrzebny? Mam już system antywirusowy i firewall to nie wystarczy? Dodatkowa warstwa zabezpieczeń

18 MetaIDS jak działa? syslog messages.log syslog authlog czujka service scanned src_ip = program = sshd access.log error.log

19 MetaIDS jak działa? serwer MetaIDS serwer www czujka service scanned src_ip = program = sshd

20

21 Co zyskaliśmy? 1. Czas pracy administratora 2. Do przejrzenia tylko istotne informacje 3. Informacje ze wszystkich chronionych systemów są ujednolicone i przechowywane w jednym miejscu

22 MetaIDS wykrywanie sekwencji Serwer MetaIDS service scanned src_ip = program = sshd auth failure src_ip = user = aah auth failure src_ip = user = aahed auth success src_ip = user = admin

23 : MetaIDS

24 Architektura systemu

25 Podsumowanie Ataki na systemy komputerowe są powszechne Najniebezpieczniejsze ataki pochodzą z wewnątrz sieci Utrzymywanie odpowiednio wysokiego poziomu bezpieczeństwa ciągle rozrastającej się sieci to trudne zadanie Istnieje potrzeba posiadania dodatkowej warstwy zabezpieczeń - systemu IDS Bezpieczeństwo to proces a nie produkt

26 Pytania?

27 Dziękujemy za uwagę marcin.jerzak at man.poznan.pl mariusz.wojtysiak at man.poznan.pl Poznańskie Centrum Superkomputerowo-Sieciowe ul. Noskowskiego 12/14, Poznań tel WWW: