Funkcjonalność ochrony przed intruzami w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń IPS Produkty zabezpieczeń typu UTM (ang. unified threat management) to urządzenia, w których zawarte zostało wiele funkcji, tzn. firewall, VPN, IPS, antywirus, antyspam i filtracja URL. Możliwości produktów UTM są często stawiane na równi ze specjalizowanymi rozwiązaniami zabezpieczeń. UTM posiadają zaimplementowanych wiele modułów ochrony, ale ich jakość i funkcjonalność jest bardzo ograniczona. Firmy dokonujące wyboru określonego rozwiązania zabezpieczeń powinny nie tylko sugerować się ceną produktów, ale także sprawdzić czy oferowane funkcje bezpieczeństwa są odpowiednie. W opracowaniu zostały przedstawione funkcje Intrusion Prevention System (IPS) dostępne w UTM na przykładzie urządzeń Fortigate firmy Fortinet oraz funkcje specjalizowanego rozwiązania IPS na przykładzie rozwiązania NetScreen Intrusion Detection and Prevention (IDP) firmy Juniper Networks. Omówione zostały tylko podstawowe, dostępne w konsoli graficznej, elementy konfiguracji IPS urządzeń UTM oraz specjalizowanych rozwiązań zabezpieczeń (tzn. bez ustawień w plikach konfiguracyjnych i linii poleceń CLI). W przypadku specjalizowanych rozwiązań zabezpieczeń IPS nie ma możliwości, aby przedstawić w sposób interesujący dla czytelnika wszystkie ich właściwości i dostępne ustawienia konfiguracyjne. Funkcje IPS dostępne w urządzeniu UTM: Wykrywanie i blokowanie ataków na podstawie bazy sygnatur. Logowanie zdarzeń z możliwości ich przeglądu, raportowania i generowania alarmów. Funkcje IPS specjalizowanego rozwiązania zabezpieczeń: Wykrywanie i blokowanie penetracji i ataków wykonywanych przez intruzów i robaki internetowe za pomocą wielu metod detekcji (m.in. Stateful Signatures, Protocol Anomalies, Traffic Anomalies, Spoofing Detection, Layer 2 Detection, Backdoor Detection, Denial of Service Detection, Network Honeypot). Wykrywanie sytuacji przełamania zabezpieczeń (m.in. zainstalowanych w sieci robaków, Backdoor i Trojan) za pomocą technik analizy heurystycznej (Backdoor Detection) oraz analizy zmian stanu chronionych systemów (Security Profiler). Oszukiwanie intruzów za pomocą technik Network Honeypot (przeciwdziałanie technikom skanowania i fingerprint, szybkie identyfikowanie intruzów). Wykrywanie ataków (D)DoS przez sygnatury i analizę ruchu sieciowego (przekroczenie wartości progowych). Wykrywanie nowych komputerów w sieci (np. nielegalnie podłączonych intruzów) za pomocą mechanizmu Security Profiler. Monitorowanie stanu bezpieczeństwa (m.in. wykrywanie robaków działających na stacjach pracowników). Śledzenie adresów IP wskazanych jako podejrzane. Wspomaganie administratorów w zakresie wyjaśniania zaistniałych naruszeń bezpieczeństwa. Korelacja zdarzeń i wyjaśnianie incydentów (Log Investigator, Quick Reports). Kontrola szyfrowanych sesji SSL. Wykrywanie rodzajów i wersji chronionych systemów (Security Profiler). 2006 CLICO SP. Z O.O. WSZELKIE PRAWA ZASTRZEŻONE
Powiadamianie administratorów oraz logowanie zdarzeń przez określony czas po ataku i przed atakiem (analiza całości ruchu). Definiowanie obsługi nowych zdarzeń przez graficzny edytor obiektów ataków. Raporty generowane i wyświetlane w czasie rzeczywistym (nawet z wielu milionów rekordów). Wykrywanie pracowników nie przestrzegających zasad wykorzystania systemu informatycznego (Violation Objects Manager). Kompletowanie danych (m.in. składanie pakietów poddanych fragmentacji, eliminacja retransmisji) Normalizacja danych (m.in. translacja różnych formatów i systemów kodowania danych) Śledzenie połączeń, przepływu i strumieni (m.in. klient-serwer, serwer-klient, kanały sterowania i danych, negocjacje TCP) Wykrywanie i blokowanie ataków i innych niedozwolonych działań Zasady kontroli ruchu sieciowego w systemie zabezpieczeń NetScreen-IDP 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 2
Funkcje IPS w urządzeniu UTM (przykład Fortigate) Konsola administratora urządzenia Fortigate dostępna jest przez przeglądarkę WWW 1. W zakresie ochrony przed intruzami (IPS) konfiguracja polega na włączeniu lub wyłączeniu poszczególnych ataków dostępnych w bazie urządzenia. Baza ataków podzielona jest na dwie kategorie: Signature (sygnatury ataków) i Anomaly 2 (anomalie ruchu). 1 2 Administracja Fortigate może także odbywać się za pomocą oddzielnego urządzenia FortiManager. W kategorii Anomaly zawartych jest ok. 30 prostych anomalii ruchu sieciowego. W innych rozwiązaniach zabezpieczeń takie funkcje realizuje sam firewall (np. w firewallach Juniper NetScreen). 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 3
Sygnatury włączone w konfiguracji IPS mogą zostać aktywowane w poszczególnych politykach. Istnieje także możliwość definiowania własnych sygnatur. Dostrajanie konfiguracji IPS jest możliwe przez polecania CLI. Informacje nt. działania IPS można odczytać z logu urządzenia 3. 3 Do zbierania logów i tworzenia raportów można także wykorzystać oddzielne urządzenie FortiAnalyzer lub oprogramowanie FortiReporter instalowane na Microsoft Windows odbierające logi za pomocą Syslog. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 4
Funkcje IPS w specjalizowanym rozwiązaniu zabezpieczeń (przykład Juniper NetScreen-IDP) Implementacja zabezpieczeń IPS System Network IPS występuje zwykle jako system uzupełniający i ubezpieczający firewall. Wdrożenie skutecznego systemu ochrony przed atakami z sieci wymaga uwzględnienia wielu aspektów i włączenia odpowiednich mechanizmów zabezpieczeń, m.in.: Utrudnianie skanowania i rozpoznawania systemów. Wykrywanie skanowania i prób penetracji. Ochrona przed atakami exploit. Wykrywanie i blokowanie połączeń z backdoor. Ochrona przed atakami destrukcyjnymi i destabilizującymi (D)DoS. Definiowanie nowych ataków i zdarzeń. Blokowanie pakietów z niewłaściwą adresacją (Anti-Spoofing). Ochrona serwisów dostępnych na niestandardowych portach. Ustalenie zasad kontroli dostępu w sieci. Utrudnianie skanowania i rozpoznawania systemów Przed wykonaniem ataków intruzi zwykle dokonują rozpoznania obiektów ataku tak, aby dobrać odpowiednie narzędzia. Włączenie mechanizmu Network Honeypot ma na celu przekazywanie intruzom nieprawdziwych informacji nt. dostępnych usług systemu (zwykle przedstawianie usług specyficznych dla innej klasy systemów). Skanowanie portów wraz z techniką TCP/IP fingerprint pozwala intruzowi na ustalenie dostępnych usług sieciowych oraz rodzaju systemu operacyjnego serwera. W przypadku zastosowania zabezpieczeń NetScreen-IDP (Network Honeypot) intruz otrzymuje wiele nieprawdziwych informacji utrudniających prowadzenie dalszego ataku (np. na serwerze MS Windows zostają rozpoznane usługi specyficzne dla serwerów Unix). 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 5
Wykrywanie skanowania i prób penetracji Włączenie w polityce bezpieczeństwa kategorii ataków Network Scanner Identification ma na celu wykrywanie skanowania i prób penetracji. System zabezpieczeń identyfikuje podstawowe techniki skanowania oraz rozpoznawania systemów operacyjnych i aplikacji, a także techniki specyficzne dla określonych narzędzi (np. Nessus, NMAP). 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 6
Dostępny w NetScreen-IDP mechanizm wykrywania anomalii ruchu sieciowego Traffic Anomalies odpowiada za identyfikowanie i blokowanie ataków DoS (Session Count) polegających na nawiązywaniu dużej liczny sesji oraz identyfikowaniu różnych technik skanowania i identyfikacji systemów, m.in.: TCP/UDP Scan - skanowanie wykrywane, gdy z jednego adresu IP w określonym czasie wykonywana jest określona liczba prób połączenia do różnych portów TCP/UDP chronionego systemu, Distributed Scan - skanowanie wykrywane, gdy z wielu adresów IP jednocześnie wykonywane jest skanowanie portów TCP/UDP chronionego systemu, ICMP Sweep skanowanie wykrywane, gdy z jednego adresu IP wysyłane są zapytania ICMP Ping do wielu adresów w sieci w celu ustalenia ich dostępności, Network Scan skanowanie wykrywane, gdy z jednego adresu IP wykonywane jest skanowanie portów TCP/UDP wielu chronionych systemów. Ochrona przed atakami exploit W polityce bezpieczeństwa NetScreen-IDP włączamy kategorie ataków exploit specyficzne dla chronionych zasobów systemu informatycznego. Dla przykładu, w przypadku chronionego serwera Microsoft Internet Information Server włączamy kategorie ataków istotne dla tego systemu (m.in. kategorie Microsoft IIS o priorytecie Critical, High i Medium). Prze obecnej liczbie sygnatur ataków, na jakiej operują systemy IDS/IPS (ponad 3,000) polityka bezpieczeństwa odgrywa bardzo istotną rolę. W systemie zabezpieczeń NetScreen- IDP jest ona oparta na jasno sprecyzowanych logicznych regułach, wynikających z realizowanych zadań ochrony wskazanych zasobów systemu informatycznego. W rozwiązaniach IPS opartych na starej generacji systemach IDS konfiguracja zabezpieczeń polega głównie na przeglądaniu bazy ataków i włączaniu/wyłączaniu sygnatur bez możliwości wskazania jakiej komunikacji dotyczą. Przez to systemy te wykonują analizę ruchu sieciowego w sposób nielogiczny (np. komunikacja do serwera DNS sprawdzana jest pod kątem ataków HTTP), a w konsekwencji wykrywają i rejestrują zdarzenia nieistotne z punktu widzenia bezpieczeństwa sieci chronionej (m.in. fałszywe alarmy). Pewnym złagodzeniem skutków braku precyzyjnej polityki bezpieczeństwa może być korelowanie rejestrowanych przez IPS logów z wynikami skanera, za pomocą którego ustala się jakie aplikacje występują na chronionych serwerach. W praktycznym działaniu jest to jednak mało pomocne, ponieważ skaner nie jest w stanie ustalić rodzaju wielu aplikacji. Serwery sieciowe ze względów bezpieczeństwa ukrywają swoją tożsamość (np. serwer pocztowy Qmail przedstawia się w sieci jako MS Exchange). 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 7
Precyzyjne reguły polityki bezpieczeństwa Network IPS zapewniają efektywną pracę zabezpieczeń, co ma duże znaczenie w sieciach wewnętrznych o wysokiej przepływności i intensywności ruchu. Analizie w zakresie identyfikowania ataków poddawana jest tylko komunikacja istotna w odniesieniu do chronionych zasobów systemu informatycznego. Generowana liczba alarmów jest stosunkowo niewielka, za to posiadają one dużą wartość informacyjną. Jaki ruch sieciowy podlega inspekcji? Czego należy szukać (m.in. jakich rodzajów ataków)? Jakie działania należy podejmować w razie wykrycia zdarzenia? Wykrywanie i blokowanie połączeń z backdoor W razie przeprowadzenia udanego włamania do systemu i zainstalowania backdoor intruz bez wykonywania ataków może uzyskiwać do niego nieupoważniony dostęp. W systemie zabezpieczeń NetScreen-IDP występują dwie metody przeciwdziałania takim sytuacjom. Włączenie mechanizmu Protocol Anomaly Detection dla chronionych zasobów systemu informatycznego (tzn. w regułach polityki bezpieczeństwa dodajemy odpowiednie kategorie Protocol Anomaly) powoduje, że ruch sieciowy sprawdzany jest pod kątem zgodności z obowiązującymi standardami dla poszczególnych protokołów. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 8
Dodatkowo należy skonfigurować mechanizm Backdoor Detection, który poprzez analizę heurystyczną wykrywa specyficzną dla backdoor interakcyjną komunikację. Dla przykładu, dzięki niemu połączenie do backdoor (NetCat na porcie 25-TCP) zostaje po krótkim czasie zablokowane przez zabezpieczenia NetScreen-IDP. Ochrona przed atakami destrukcyjnymi i destabilizującymi (D)DoS Podstawowa ochrona przed atakami (D)DoS realizowana jest przez mechanizm SYN- Protector. Należy włączyć go dla serwerów narażonych na ataki typu SYN-Flooding. Dodatkowo w polityce bezpieczeństwa włączamy ataki (D)DoS specyficzne dla chronionych zasobów systemu informatycznego. W razie wykrycia ataku na strategiczne zasoby systemu informatycznego NetScreen- IDP może na określony czas całkowicie zablokować dostęp dla adresów IP, z których zostały wykonane ataki. Ustawienia te powinny jednak zostać dobrze przemyślane przed ich zastosowaniem. Jest to bardzo mocny mechanizm w rękach administratora, którego zastosowanie należy odpowiednio zaplanować. Przede wszystkim nie należy stosować tego mechanizmu jako reakcji na ataki, które mogą potencjalnie być wykonane z innych adresów IP (np. ataki wykorzystujące IP Spoofing do fałszowania adresów, z których są wysyłane). 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 9
Dostrajanie konfiguracji zabezpieczeń Oprócz włączenia odpowiednich mechanizmów ochrony przed atakami należy także zwrócić uwagę na właściwe dostrojenie konfiguracji zabezpieczeń NetScreen-IDP tak, aby uwzględniała ona specyficzne uwarunkowania systemu informatycznego, m.in.: zdefiniowanie nowych ataków i zdarzeń (np. blokowanie specyficznych dla danego kraju aplikacji P2P), ochronę serwisów na niestandardowych portach (tzn. zdefiniowane nowych serwisów i dodanie ich do odpowiednich reguł polityki bezpieczeństwa), blokowanie pakietów z niewłaściwą adresacją (m.in. włączenie mechanizmu Spoofing Detection w celu blokowania napływających z Internetu pakietów zawierających adres źródłowy IP należący do sieci wewnętrznych), ustalenie zasad kontroli dostępu w sieci (np. blokowanie niedozwolonych połączeń z DMZ do sieci wewnętrznej; system NetScreen-IDP może w tym przypadku pełnić rolę firewall). W razie potrzeby można zdefiniować własne sygnatury ataków i zdarzeń. Należy przy tym pamiętać, że w systemie zabezpieczeń NetScreen-IDP wykrywanie ataków odbywa się metodą pełno-stanowych sygnatur (ang. stateful signatures). Zapewnia to wysoką wydajność pracy zabezpieczeń, ponieważ sensory IDP wiedzą gdzie należy szukać określonych sygnatur (np. w pakietach, strumieniach, liniach aplikacyjnych), a kontrola odbywa się w kontekście całej komunikacji. Tworząc własne sygnatury ataków i zdarzeń należy zadbać, aby uwzględniały one sposób ich wyszukiwania w ruchu sieciowym. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 10
Poniższy rysunek wyjaśnia na przykładzie różnicę pomiędzy pakietami (ang. packet), strumieniami (ang. stream) oraz liniami (ang. line). Definiowanie sygnatur odbywa się za pomocą graficznej konsoli GUI. Własne sygnatury można bardzo łatwo tworzyć w oparciu o słowa kluczowe (np. wykrywanie i blokowanie przesyłek pocztowych zawierających w treści słowo poufne ). W przypadku bardziej złożonych ataków nie jest to jednak trywialne. W tym celu należy bowiem potrafić definiować sygnatury poprzez wyrażenia regularne (ang. regular expressions). Zapytanie klienta HTTP (np. przeglądarki Web) GET /dane/lista.html /HTTP1.1 Host: www.firma.pl Pakiety GET /da ne/lista. html /HT TP1.1<CR> <LF>Host: www.firm a.pl<cr> <LF> Strumień GET /dane/lista.html /HTTP1.1<CR><LF>Host: www.firma.pl<cr><lf> Linie GET /dane/lista.html /HTTP1.1<CR><LF> Host: www.firma.pl<cr><lf> Poniżej przedstawiona została przykładowa sygnatura do wykrywania niedozwolonych znaków w wartościach parametrach (URL GET) wprowadzanych do aplikacji Web (sygnatura: (= [a-z] [0-9] [A-Z])+ Negate) 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 11
Ataki złożone można definiować za pomocą obiektów Compound Attacks gdzie wykrycie ataku odbywa się w razie wystąpienia wielu różnych zdarzeń. Możliwe jest przy tym łączenie sygnatur z anomaliami protokołów i ustalanie czy zdarzenia muszą występować po kolei. Za pomocą tego mechanizmu można np. wykrywać aplikacje P2P (np. SKYPE) oraz robaki internetowe, które najpierw atakują system, a następnie się w nim instalują. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 12
Monitorowanie stanu bezpieczeństwa Graficzna konsola Dashboard wyświetla w czasie rzeczywistym wybrane statystyki z funkcjonowania sieci i zabezpieczeń (m.in. najczęściej wykonywane ataki, najczęstsze źródła ataków, najczęstsze cele ataków, status elementów systemu zabezpieczeń). 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 13
Analiza rejestrowanych zdarzeń Administrator NetScreen-IDP na bieżąco dokonuje analizy bezpieczeństwa systemu informatycznego z użyciem dedykowanych narzędzi. Za pomocą Log Viewer przegląda zdarzenia zarejestrowane przez poszczególne sensory IDP. W czasie rzeczywistym wyświetlane są rekordy logów w formacie tabeli z możliwością definiowania specyficznych reguł filtracji oraz selekcji danych. Zdarzenia mogą być także przeglądane za pomocą polecenia logviewer. Zdarzenia zarejestrowane w logu IDP mogą zostać zapisane do innego formatu (m.in. pliku PDF, Postscript, XML, CSV) lub wyeksportowane do bazy SQL, serwera Syslog, menadżera SNMP, bądź przesłane na wskazane konto serwera SMTP. Odbywa się to z konsoli GUI oraz polecenia log2action. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 14
Administrator IDP przeglądając zarejestrowane zdarzenia za pomocą Log Viewer może szybko dowiedzieć się, jaki jest dokładny opis zdarzenia (definicja sygnatury ataku), na podstawie której reguły i polityki został stworzony wpis oraz jak dokładnie przebiegała sesja, w której dokonano ataku. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 15
Wykrywanie i wyjaśnianie naruszeń bezpieczeństwa Dane odczytywane z wielu sensorów IDP są za pomocą Log Investigator poddawane w czasie rzeczywistym korelacji i analizie. Administrator zabezpieczeń bez konieczności generowania raportu z logów historycznych może dowiedzieć się kto wykonywał ataki na określone zasoby w sieciach chronionych, ile takich zdarzeń wystąpiło w określonym czasie oraz jakie ataki i błędy bezpieczeństwa zostały przez intruzów wykorzystane. Za pomocą Log Investigator administrator zabezpieczeń na jednym ekranie przegląda interakcyjną tabelę z zestawieniem listy intruzów i zaatakowanych przez nich systemów (oś Y i X). W polach tabeli Log Investigator znajduje się liczba wykrytych ataków. Dane zawarte w tabeli odnoszą się do wskazanego przez administratora okresu czasu (np. ostatnie 2 godziny). Prawym przyciskiem myszki administrator odczytuje z tabeli jakie dokładnie ataki zostały wykonane przez intruza, jakie usługi były atakowane, w jakim czasie zostały wykonane ataki oraz inne dane z tym związane (np. reakcja systemu zabezpieczeń). 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 16
Przeglądane w Log Viewer zdarzenia mogą zostać za pomocą Quick Report poddane korelacji w czasie rzeczywistym w odniesieniu do innych, związanych z nimi zdarzeń (np. w czasu ostatnich 12 godzin). W celu dokładniejszego wyjaśnienia zdarzeń administrator może przeanalizować sesje związane z zarejestrowanymi atakami (np. 20 pakietów przed i 10 pakietów po ataku). W systemie zabezpieczeń IDP dostępne są do tego celu odpowiednie narzędzia (Packet Viewer). Administrator może to także zrobić z wykorzystaniem innych posiadanych narzędzi (np. Ethereal). 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 17
Konsola GUI za pomocą narzędzi Report Manager prezentuje tworzone w czasie rzeczywistym zestawienia i statystyki. Administratorzy mają do dyspozycji ponad 20 predefiniowanych raportów. W razie potrzeby mogą definiować dowolne własne raporty. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 18
Wykrywanie sytuacji przełamania zabezpieczeń System zabezpieczeń Juniper NetScreen-IDP w zakresie zarządzania bezpieczeństwem posiada unikalny mechanizm Enterprise Security Profiler. Umożliwia on administratorom wykrywanie sytuacji, kiedy zabezpieczenia systemu informatycznego zostały przełamane (np. atak został wykonany od wewnątrz, intruz wykorzystał do ataku zero day exploit ). Zakres praktycznych zastosowań tego mechanizmu jest b. duży, m.in.: Security Profiler na bieżąco zbiera i automatycznie aktualizuje informacje na temat występujących w sieciach chronionych komputerów oraz zainstalowanych na nich aplikacjach. System zabezpieczeń IDP podnosi alarm w razie zauważenia nowych komputerów bądź aplikacji w sieciach chronionych. Dodatkowo administrator zabezpieczeń za pomocą dedykowanych graficznych narzędzi może sprawdzić jakie zmiany wystąpiły w sieci w określonym okresie czasu (m.in. nowe komputery, nowe aplikacje i otwarte porty). Dzięki temu może wykryć podłączony do sieci wewnętrznej komputer intruza, bądź zainstalowane aplikacje Backdoor/Trojan. Administrator zabezpieczeń IDP za pomocą Security Profiler może bez konieczności skanowania sieci dowiedzieć się jakie wersje aplikacji serwerów i stacji roboczych znajdują się w sieciach chronionych. Na tej podstawie może wykonać analizę podatności systemu informatycznego na znane błędy bezpieczeństwa oraz w razie zauważenia ataku zweryfikować, czy atakowany system jest na to zagrożenie podatny. Sensory IDP analizują komunikację sieciową, odczytują z niej i zapamiętują informacje specyficzne dla użytkowników, komputerów i aplikacji, które mogą być przydatne w procesie zarządzania bezpieczeństwem (m.in. adresy MAC i IP, nazwy NetBIOS, rodzaje kart sieciowych, rodzaje i wersje klientów i serwerów aplikacji, polecenia wydawane aplikacji, itd.). Wykorzystując Security Profiler administrator zabezpieczeń może szybko ustalić jakie zmiany wystąpiły w sieci w określonym czasie (m.in. zidentyfikować nowe aplikacje i otwarte porty, nowe komputery) i dzięki temu wykryć zainstalowane aplikacje Trojan i nielegalnie podłączone do sieci wewnętrznej komputery intruzów, a nawet pracowników łamiących zasady użytkowania systemu informatycznego. Na poniższych rysunkach został przedstawiany efekt połączenia z Trojanem Luzak, jaki został zarejestrowany przez IDP Security Profiler. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 19
Powiadomienie administratorów o wykryciu nowego otwartego portu na serwerze Wykrywanie aplikacji Trojan na podstawie analizy zmian w sieci chronionej 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 20
Inną dostępną w systemie zabezpieczeń Juniper NetScreen-IDP metodą wykrywania połączeń z Trojanami jest analiza heurystyczna komunikacji sieciowej. W systemie IDP oprócz detekcji Trojanów poprzez sygnatury i analizę zmian w sieci (Security Profiler) został zaimplementowany do tego celu dedykowany mechanizm Backdoor Detection. Jego działanie polega na wykrywaniu sesji interakcyjnych, typowych dla połączeń z aplikacją Trojan. Metoda ta jest skuteczna w sytuacji, gdy intruz nawiązuje połączenie z zainstalowanym wcześniej Trojanem i komunikacja ta jest monitorowana przez zabezpieczenia IDP. Taka sytuacja może wystąpić gdy Trojan został zainstalowany w sieci wewnętrznej przez użytkownika (umyślnie lub nieświadomie), bądź na skutek ataku exploit, który nastąpił z wykorzystaniem nie opublikowanego błędu bezpieczeństwa lub od wewnątrz sieci z pominięciem zabezpieczeń IPS. Działanie mechanizmu Backdoor Detection jest skuteczne dla większości dostępnych w Internecie aplikacji exploit. Aplikacje te uruchamiają na atakowanym serwerze shellcode, poprzez który intruz uzyskuje dostęp do konsoli zarządzania systemu operacyjnego. Zwykle połączenie z serwerem nie jest szyfrowane. Dopiero poprzez to połączenie intruz może skopiować i zainstalować na serwerze dedykowaną, zwykle trudną do wykrycia aplikację Trojan (np. Setiri). System zabezpieczeń IDP po kilku sekundach pracy intruza z Trojanem blokuje sesję i wyświetla alarm o wykryciu na serwerze nielegalnej aplikacji (patrz rysunek). Wykrycie połączenia z Trojanem poprzez analizę heurystyczną komunikacji sieciowej 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 21
Opracowanie efektywnych narzędzi do wykrywania i wyjaśniania sytuacji przełamania zabezpieczeń stanowi obecnie duże wyzwanie dla producentów zabezpieczeń IPS. Stosowanie do tego celu konwencjonalnych technik detekcji jak sygnatury ataków i analiza zgodności komunikacji ze standardami RFC nie jest wystarczające. Nie istnieją i prawdopodobnie nigdy nie zostaną stworzone zabezpieczenia o stuprocentowej skuteczności. Dlatego też system zabezpieczeń powinien być przygotowany na sytuacje naruszeń bezpieczeństwa, umożliwiać szybkie wykrywanie i wyjaśnianie W logach systemów zabezpieczeń IPS/IDS zwykle znajduje się bardzo wiele zarejestrowanych zdarzeń, nawet do kilku milionów rekordów. Efektywna analiza logów wymaga zastosowania specjalizowanych narzędzi. Do tego celu w systemie zabezpieczeń NetScreen-IDP służy zestaw narzędzi Security Explorer, gdzie zdarzenia są poddawane analizie w reprezentacji graficznej. Za pomocą Security Explorer można w szybki i wygodny sposób wykrywać i wyjaśniać naruszenia bezpieczeństwa. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 22
Wyjaśnianie naruszeń bezpieczeństwa Administrator zabezpieczeń NetScreen-IDP ma do dyspozycji różne perspektywy przedstawiające zdarzenia w reprezentacji graficznej. Przykładowy scenariusz analizy potencjalnego naruszenia bezpieczeństwa za pomocą Security Explorer został przedstawiony poniżej. 1. Ustalenie komputerów, z którymi potencjalny intruz komunikował się odbywa się za pomocą perspektywy Peer IPs. Należy zwrócić uwagę na podejrzane lub niedozwolone połączenia (np. dostęp do ważnych serwerów produkcyjnych). 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 23
2. Perspektywa Top Destination IPs pokazuje adresy IP, do których określony komputer najczęściej nawiązywał połączenia. W ten sposób można ustalić zakres naruszenia bezpieczeństwa. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 24
3. Perspektywa Top Attacks umożliwia ustalenie rodzaju ataków wykonanych z podejrzanego komputera oraz ich liczby. Należy zwrócić uwagę na ataki specyficzne dla występujących w sieciach chronionych aplikacji, które mogły doprowadzić do naruszenia bezpieczeństwa (np. włamania do systemu). 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 25
4. Atakowane usługi sieciowe można odczytać za pomocą perspektywy Outbound Services. Bieżąca analiza zdarzeń 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 26
1. Analiza zdarzeń może być prowadzona w szerszym zakresie dla całych sieci. W zakładce Networks możemy wskazać określoną sieć IP i za pomocą perspektywy Top Attacks ustalić ataki, jakie zostały wykonane z tej sieci. 2. W razie zauważenia ataków na określone aplikacje można ustalić, czy takie aplikacje występują w sieci. W tym celu z zakładki Contexts uruchamiamy perspektywę Values. 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 27
Następnie zaznaczając nazwy określonych aplikacji można ustalić adresy IP systemów, gdzie one funkcjonują. 3. Wykrywanie oznak włamania może odbywać się na podstawie występujących w sieciach chronionych nietypowych sytuacji (np. nietypowych nazw kont FTP, usług działających na niestandardowych portach Trojanów). 2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 28
2006 CLICO Sp. z o.o. Wszelkie prawa zastrzeżone 29