IDS Igor T. Podolak Instytut Informatyki UJ 2 grudnia 2008 IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 1 / 25
DZIENNIKI SYSTEMOWE wyszukiwanie i analiza rekordów synchronizacja informacji z różnych dzienników dzienniki systemowe Unix /var/log messages, boot, etc. znacznik czasu adres IP hosta tworzacego zapis nazwa procesu tworzacego komunikat opis komunikatu (nie standaryzowany) demon logowania syslogd zapis bezpośredni z jadra systemu zapis przez połaczenie sieciowe UDP na porcie 514 kategorie authorization, authprivilages, cron, daemon, kern, lprinter, mail, news, security, syslog, user, uucp priorytety debug, info, notice, warning, error, critical, alert, emergency, panic IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 2 / 25
INFORMACJE ZAPISYWANE W DZIENNIKACH LOGOWANIA uruchamianie, zamykanie, restart systemu przekroczenie dostępnych zasobów ewentualne problemy ze sprzętem dostęp użytkowników do systemu przez telnet, ssh, ftp, etc. komendy typu su zmiany uprawnień użytkowników, zmiany uwierzytelnień mdyfikacja konfiguracji systemu próby modyfikacji dzienników IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 3 / 25
DEMON LOGOWANIA klogd zapisuje bezpośrednio komunikaty jadra do pliku syslogd zapisuje przesyłane komunikaty w trybie współdziałania syslogd może przyjmować komunikaty od innych hostów zapisany czas będzie czasem przyjścia komunikatu 1 format komunikatów nie jest standaryzowany 2 filtrowanie informacji jest trudne 3 UDP nie jest protokołem gwarantujacym dochodzenie wiadomości 4 komunikaty przesyłane sa otwartym tekstem ale to zwykle dzieje się w lokalnej sieci 5 tylko dane ostatniego komputera zostania zapisane 6 dzienniki przechowywane w formacie tekstowym, co ułatwia nieuprawnione modyfikacje IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 4 / 25
ROZWIAZANIA KONKURENCYJNE syslog-ng http://www.balabit.com/network-security/syslog-ng/ lepsza kontrola uprawnień przez pracę w chroot możliwość zapisywania do baz danych msyslog http://sourceforge.net/projects/msyslog/ możliowść kryptograficznego kodowania najważniejszych komunikatów połaczenie przez port 514 protokołem TCP IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 5 / 25
UKRYWANIE ZAPISÓW W DZIENNIKACH by zapobiec modyfikacjom czy tworzenia honey-pots ukryty serwer dzienników systemowych nie posiadajacy własnego adresu IP bardziej odporny na włamania podłuchujacy komunikaty od ustalonych serwerów do oficjalnego serwera dzienników zapisuje podsłuchane komunikaty serwer dzienników odrzucajacy połaczenia serwer odrzuca na firewallu połaczenia z portem 514 program podsłuchujacy przechwytuje pakiety, które maja być odrzucone wysyłanie komunikatów do nie istniejacego hosta przechwytywanie komunikatów przez program podsłuchujacy by wysłać do nie istniejacego hosta, trzeba oszukać host wysyłajacy fałszywym komunikatem ARP, np. arp -s <nie istniejący adres IP> <nie istniejący adres MAC> IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 6 / 25
AGREGACJA I SYNCHRONIZACJA INFORMACJI Z DZIENNIKÓW agregacja (centralizacja) dzienników ułatwia przegladanie dzienników informacje zapisywane w wielu plikach sa trudniejsze do usunięcia możliwe sa też metody globalnej obsługi dziennikow z wielu sieci DShield www.dshield.org/ NetWatchman www.mynetwatchman.com/ DeepSight Analyzer analyzer.securityfocus.com/ IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 7 / 25
SYSTEMY IDS analiza dla wykrycia potencjalnych włamań dwa podstawowe modele NIDS Network Intrusion Detection System analiza ruchu sieciowego, możliwego skanowania HIDS Host Intrusion Detection System kontrola aktywności aplikacji kontrola spójności systemu plikowego Tripwire IPS Intrusion Prevention System może to przyszłość? IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 8 / 25
TYPY ATAKÓW rekonesans skanowanie wyszukiwanie słabości aplikacji dla wirusów tworzone tabele odstępów między wykryciem dziury a pojawieniem sie wirusa nieuprawniony dostęp ataki DoS IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 9 / 25
TYPOWE PODEJŚCIA NIDS skanowanie pakietów sieciowych wyszukiwanie niestandardowych aktywności logowanie ruchu w sieci HIDS logowanie aktywności aplikacji kontrole biometryczne analiza logowania IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 10 / 25
TYPOWE PODEJŚCIA atak odbywa sie zwykle w wielu kolejnych krokach skanowanie sieci w poszukiwaniu słabości proby dostępu do poszczególnych aplikacji właściwy atak wykrywanie anomalii wykrywanie sygnatur ataków IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 11 / 25
WYKRYWANIE ANOMALII odchylenia od normalnej aktywności uruchomione aplikacje wykorzystanie procesora i pakiety i duży ruch w sieci dysku dziwne sygnatury logowania użytkowników dziwne rozmiary pakietów liczby operacji na plikach złe sumy kontrolne uruchomione usługi otwarte porty konieczność aktualizacji poziomu standardowej aktywności trudne do określenia zamiary atakujacego czy dana aktywność na pewno jest wstępem do ataku??? gwarantuja duża czułość wykrywania ataków sa jednak mało precyzyjne większa precyzja dla IDS osadzonych na hostach IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 12 / 25
WYKRYWANIE WZORCÓW ataki postępuja według ustalonych wzorców konieczność tworzenia sygnatur dla wszystkich ataków dopasowywanie sygnatur jest złożone obliczeniowo wciaż powstaja nowe ataki z nie istniejacymi jeszcze sygnaturami Common Vulnerabilities and Exposures lista znanych dziur cve.mitre.org/ IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 13 / 25
NIMDA WORM atakuje serwery internetowe wysyłajac GET /scripts/..%c0%af../winnt/system32/cmd.exe?+dir %c0%af to / przejście do korzenia wzorzec nie musi występować w postaci kanonicznej najlepiej zdekodować całe wyrażenie i wtedy dopasować bardziej złożone obliczeniowo IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 14 / 25
FALSE POSITIVES FALSE NEGATIVES minimalna zmiana ataku spowoduje nie wykrycie go zwykła operacja podobna do ataku spwoduje alarm konieczność równowagi między czułościa a precyzja bardziej szczegółowe sygnatury mniej false positives czasochłonne w ocenie więcej wiecej do oceny czułość/precyzję opisuja ROC Receiver Operating Characteristic czułe (TP/(TP + FN)) tam, gdzie ataki nie moga być przeoczone precyzyjne (TN/(TN + FP)) tam, gdzie ważna wiarygodność alarmów IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 15 / 25
REAKCJA alarmy e-maile, komunikaty do analityka SNMP raportowanie osobne dla każdego czujnika / miejsca w systemie logowanie wykorzystywane przez oprogramowanie analizujace Cisco, Sourcefire, Snort zazwyczaj logowanie, alarmy, analiza, statystyki administrator musi mieć możliwość analizy wyłapanych pakietów sygnatury nie moga być tajne! IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 16 / 25
ROZPROSZONE IDS czujniki musza być umieszczone w wielu miejscach skuteczne zbieranie informacji z wielu sieci wskazana możliwość szukania korelacji między atakami w różnych miejscach pozwala na szukanie dodatkowych wzorców znowu DeepSight, DShield co najmniej jeden czujnik w każdym segmencie sieci wiele charakterystyk administratorzy przez 25 godzin na dobę (albo dłużej) archiwizacja raportów IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 17 / 25
CZUJNIKI wiele czujników, w każdym segmencie sieci blisko filtrujacej ruch zapory sieciowej trudna konfiguracja czujników umieszczonych na urzadzeniach typu switch przy dużym ruchu switch porzuca kierowania pakietów na port rozgłaszajacy w segmencie zewnętrznym (bardzo obciażony) w strefie zdemilitaryzowanej w strefie wewnętrznej porównanie pakietów pozwala na wykrycie słabości część pakietów będzie porzucona IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 18 / 25
METODY OBCHODZENIA SYSTEMÓW IDS fragmentacja pakietów reguły odnosza się zwykle do pojedynczych pakietów obrona może być składanie pakietów przed ocena przez IDS modyfikacje protokołów na przykład inaczej sformatowane komunikaty HTTP ochona może być proba normalizacji komunikatów złe numery sekwencyjne haker wysyła ostateczne potwierdzenie SYN w 3-way handshake ze sfałszowanym nuemerem sekwencyjnym host odrzuca, ale IDS nie zdaje sobie z tego sprawy haker wysyła RST z fałyszywm numerem zamykajac IDS właściwe komunikaty sa ignorowane przez IDS i wiele innych IPSec koduje informacje uniemożliwia to IDS odczytywanie wszystkich informacji pojawia się konieczność wstawiania IDS na różnych poziomach IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 19 / 25
SNORT http://www.snort.org oparty na sygnaturach bardzo szczegółowe sygnatury otwarte umożliwiaja kontrolę każdego pola pakietu nie wszystkie dobrze skontrolowane czasem problemy z nejświeższymi IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 20 / 25
REGUŁY SNORT bezstanowe opcje stron wymiany pakietu (adresy) opcje zawartości pakietu alert tcp!10.1.1.0/24 any -> 10.1.1.0/24 any (flags: SF; msg SYN-FIN scan ;) lokalna sieć 10.1.1.0/24 atak z innego adresu i z dowolnego portu atak na nasza sieć dowolny host i port ustawione flagi SYN (S) i FIN (F) IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 21 / 25
AKCJE SNORT ALERT informacja i alarm LOG tylko logowanie PASS przerwanie dopasowywania sygnatury dla obsługi wyjatkow ACTIVATE dla reguł dynamicznych DYNAMIC aktywacja innych reguł IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 22 / 25
POLA słowa kluczowe i wartości opcje rozróżnienia logowania i komunikatów pole ttl dla rozróżnienia pakietów z niskim time to live, np. z traceroute alert udp any any > 192.168.100.0/8 3300034000 (msg: UNIX traceroute ; ttl: 1;) IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 23 / 25
POLA id dla wykrywania niezwykłych wartości adresu IP alert icmp any any > 192.168.100.0/8 any (msg Suspect IP identification # ; id: 0;) dsize wykrywajacy dziwne długości pakietów alert icmp any any -> 192.168.100.0/8 any (msg Large ICMP payload ; dsize > 1024;) seq dla wykrycia szczególnych numerow sekwencyjnych alert tcp any any -> any any (msg Possible Shaft DDoS ; seq: 0x28374839; ) IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 24 / 25
POLA flag: dowolna kombinacja flag Synchronize, Finish, Reset, Push, Acknowledgement, Urgent, 0 żadna modyfikatory + jedna lub wiecej,! zaprzeczenie, * dowolna kombinacja wymienionych w logu zaznaczone wszystkie ustawione content możliwość sprawdzania zawartości (ostrożnie!) inne: offset, depth resp możliwość reakcji na pakiet np rst_snd wysłanie TCP_RESET do nadajacego kartoteka reguł opis reguł IGOR T. PODOLAK (INSTYTUT INFORMATYKI UJ) IDS 2 GRUDNIA 2008 25 / 25