XIV Konferencja Sieci i Systemy Informatyczne PIOTR GOŚCINIAK, WOJCIECH ZABIEROWSKI, ANDRZEJ NAPIERALSKI Katedra Mikroelektroniki i Technik Informatycznych Politechniki Łódzkiej MODERN TECHNIQUES OF DETECTING NETWORK VULNERABILITIES NOWOCZESNE TECHNIKI WYKRYWANIA ZAGROŻEŃ SIECIOWYCH Streszczenie W artykule zostały przedstawione nowoczesne techniki wykrywania i obrony przed zagrożeniami sieciowymi. Zostały tu opisane wady i zalety systemów detekcji i reakcji na włamania, oraz system obrony przed niechcianą pocztą (SPAM). Artykuł ten zawiera również opis i zalecenia bezpiecznej konfiguracji systemów platformy MS Windows, które powinny być wykonywane dla utrzymania poprawnego działania systemu operacyjnego Prawie każda sieć posiada zapory ogniowe (głównie sprzętowe), które pomimo tego, iż są podstawowym narzędziem obrony przed elektronicznymi intruzami, często są jedynym zabezpieczeniem wielu systemów komputerowych. Firewalle działają wybiórczo, według wcześniej zdefiniowanych ustawień. Przeciwieństwem statycznych i biernych systemów ochronnych są rozwiązania typu IPS (ang. Intrusion-Prevention System), aktywnie analizujące ruch pakietów w sieciach komputerowych. Przewiduje się, że obecny rok (2006) będzie okresem popularyzacji rozwiązań integrujących tradycyjne urządzenia sieciowe (routery, switche, firewalle) z elementami technologii IPS. 1. Przegląd i rozwój zagrożeń sieciowych. Przez okres ostatnich kilku lat, korporacyjne zapory firewall stały się podstawowym elementem architektury bezpieczeństwa sieci. Zaprojektowane głównie jako mechanizm kontroli dostępu do zasobów sieciowych, zapory firewall pomyślnie wdrożono w znakomitej większości instalacji sieciowych. Najważniejszym powodem sukcesu zapór firewall jest fakt, że jeżeli urządzenia te wykorzystuje się do wymuszania właściwie zdefiniowanej polityki bezpieczeństwa, zazwyczaj zapobiegają one ponad 90% atakom sieciowych. We współczesnym świecie, gdzie konkurencja odgrywa tak istotną rolę, ma to kluczowe znaczenie dla zapewnienia niezawodności sieci. Do najpoważniejszych zagrożeń we współczesnym środowisku internetowym należą ataki polegające na próbach wykorzystania znanych słabych punktów aplikacji. Hakerzy szczególnie interesują się takimi usługami, jak HTTP (port TCP numer 80) oraz HTTPS (port TCP numer 443), które w wielu sieciach są otwarte. Urządzenia kontroli dostępu nie potrafią w łatwy sposób wykryć złośliwych eksploitów (programów mających na celu wykorzystanie błędów w oprogramowaniu), których celem są wspomniane usługi. Dzięki skierowaniu ataków bezpośrednio na aplikacje, hakerzy próbują osiągnąć co najmniej jeden z kilku wymienionych poniżej celów: - zablokowanie dostępu do usług uprawnionym użytkownikom (ataki DoS); - uzyskanie dostępu z prawami administratora do serwerów lub klientów aplikacji; - uzyskanie dostępu do baz danych; - instalacja koni trojańskich, które umożliwiają pominięcie mechanizmów bezpieczeństwa i uzyskanie dostępu do aplikacji; - instalacja na serwerze programów działających w trybie nasłuchu, które przechwytują identyfikatory i hasła użytkowników. NISCC, SANS Institute i amerykański oddział CERT-u opublikowały raport "Top 20 Internet Security Vulnerabilities" poświęcony dwudziestu najpoważniejszym zagrożeniom dotyczącym branży IT w 2005 roku. Wynika z niego, że cybeprzestępcy powoli zmieniają profil swej działalności. Zamiast uderzać w serwery WWW zdecydowali się na atakowanie aplikacji odpowiadających za... bezpieczeństwo sieci i komputerów osobistych. Jak dowodzą tego statystyki, techniki ataków były bardziej urozmaicone i agresywne. Usiłowały wykorzystać znajomość starych i nowych luk w zabezpieczeniach, metody mutacji kodu atakującego i ukrywania intruza przed systemami IPS. Wszystkie te dane kierują nas do jednego wniosku, który mówi, iż środowisko hackerskie zajmuje się coraz częstszym nadążaniem z "produkcją" programów wykorzystujących błędy w oprogramowaniu (ang. exploitów). Narzędzia umożliwiające włamanie pojawiają się publicznie w coraz krótszym czasie od informacji o luce w zabezpieczniach. Trend ten najdobitniej dał o sobie znać, gdy już w dwa dni po opublikowaniu przez Cisco ostrzeżenia o problemie z systemem operacyjnym IOS, dostępne były narzędzia hackerskie wykorzystujące tę słabość. Tak szybkie upublicznienie exploitu nie daje nawet nikłej szansy na załatanie systemu zanim nastąpi atak. Nadal poważnym zagrożeniem są także ataki klasy "zero-day", czyli nieznane uprzednio dostawcom systemów operacyjnych i oprogramowania.
P. Gościniak, W. Zabierowski, A. Napieralski Modern Techniques Of Detecting Network Vulnerabilities Rys. 1. Statystyka incydentów w latach 1996 2005 1 2. IDS - Systemy wykrywania intruzów W ostatnich latach drastycznie rośnie liczba incydentów związanych z naruszaniem bezpieczeństwa informacji, a przede wszystkim ich gromadzeniem. Taki stan rzeczy wymusza na administratorach sieci korporacyjnych szczególną ochronę styku sieci korporacyjnej z Internatem. Oprócz stosowania dobrze znanych zabezpieczeń takich jak zapory firewall czy systemy filtrowania treści coraz częściej na większą skalę wdraża się systemy służące do wykrywania włamań IDS (ang. Intrusion Detection System). Systemy te mają za zadanie wykrycie w sieci lub na komputerze, nieprawidłowego zachowania oraz zalogowanie podejrzanych zdarzeń i powiadomienie o tym osób administrujących siecią lub pojedynczym komputerem. Metody detekcji ataków włączane są w zależności od kontrolowanego ruchu sieciowego. Analiza danych za pomocą poszczególnych metod detekcji odbywa się w tym samym czasie (przetwarzanie współbieżne). Działanie takie zapewnia wysoka wykrywalność ataków bez obniżania wydajności systemu IDS. Do zaawansowanych technik detekcji intruzów należą: 1. Stateful Signatures, czyli wykrywanie ataków poprzez porównanie z bazą danych pełnostanowych sygnatur. Pełnostanowe sygnatury zawierają dane na temat wzorca ataku oraz rodzaju komunikacji, w której takie zdarzenie może wystąpić; 2. Protocol Anomalies wykrywa niezgodności ruchu sieciowego ze standardami określonych protokołów (m. in. RFC). W praktyce zdarza się, ze intruz w celu zmylenia zabezpieczeń bądź ukrycia rzeczywistych ataków generuje ruch sieciowy odbiegający od przyjętych norm i standardów; 3. Backdor Detection polega na wykrywaniu aktywności koni trojańskich oraz prób nieupoważnionego dostępu do chronionych zasobów przez tzw. tylne drzwi. Detekcja odbywa się przez porównywanie ruchu sieciowego za znanymi wzorcami działań intruzów oraz analizę heurystyczną transmitowanych pakietów; 4. Traffic Anomalies identyfikuje w sieci działania uznawane za niedozwolone lub podejrzane, które są realizowane w formie wielu różnych połączeń (np. skanowanie portów). Analizie poddawane są połączenia w określonym przedziale czasowym; 5. Spoofing Detection wykrywa ruch sieciowy ze sfałszowanymi adresami IP nadawcy pakietów (IPspoofing). Intruzi często wykorzystują technikę IP-spoofing, żeby ukryć rzeczywiste źródło ataku. IDS wykrywa IP-spoofing porównując adresy IP w pakietach z adresami wykorzystywanymi w sieciach wewnętrznych; 6. Layer 2 detection polega na wykrywaniu ataków i podejrzanych działań na poziomie warstwy łączenia danych i adresacji MAC (np. ARP-spoofing). Jest to szczególnie wartościowe w przypadku kontroli przez IDS sieci wewnętrznych. Na rynku dostępnych jest wiele rozwiązań klasy Network IPS (m.in. Check Point InterSpect TM, ISS Proventia G TM, NAI McAfee IntruShield TM, Juniper NetScreen- IDP TM, Radware DefensePro TM ). Obok rozwiązań sieciowych Network IPS dostępne są także Host IPS. W niniejszym artykule opiszę urządzenie Juniper NetScreen- IDP 200 realizujący zadania wykrywania intruzów w czasie rzeczywistym oraz blokujący ataki. System IDP funkcjonuje w trybie in-line jako aktywna brama sieci, bezpośrednio na drodze przepływu ruchu sieciowego. Schemat działania trybu in-line przedstawia Rys.2. Juniper Net- Screen należy do nowej kategorii zabezpieczeń - Intrusion Detection and Prevention (IDP). System IDP funkcjonuje w trybie in-line jako aktywna brama sieci, bezpośrednio na drodze przepływu ruchu sieciowego. Schemat działania trybu in-line przedstawia rysunek poniżej NetScreen IDP posiada architekturę opartą o trójstopniowe przetwarzanie danych co przedstawia Rys.3. Centralny serwer przetwarzający dane zebrane przez sensory, oraz graficzny interfejs użytkownika umożliwiający zarządzanie z każdego miejsca sieci. Rolą centralnego serwera zarządzającego jest przechowywanie wszystkich informacji o ustalonych przez administratora politykach dla sensorów, przechowywanie logów pochodzących z sensorów, przesyłanie aktualizacji sygnatur i oprogramowania sensorów. W chwili obecnej przechowuje on ponad tysiąc sygnatur ataków, które są często aktualizowane (raz w tygodniu oraz w wypadku wykrycia zagrożenia). Sygnatury systemu mają postać otwartą, są więc łatwo modyfikowalne przez administratora, dzięki czemu można lepiej przystosować je do warunków sieci. 1 CERT - CERT Polska (Computer Emergency Response Team)
XIV Konferencja Sieci i Systemy Informatyczne Rys. 2. System IDP w trybie sniffera i in-line Rys. 3. Architektura systemu Juniper IDP Sensory systemu NetScreen IDP dostarczane są jako urządzenia aplliance moduł sprzętowy przeznaczony do dedykowanej funkcji sieciowej z preinstalowanym oprogramowaniem i domyślnymi ustawieniami. Poszczególne modele posiadają różne interfejsy sieciowe, dzięki czemu można je zastosować w sieciach o różnej szybkości transmisji. Dodatkowo dzięki zastosowaniu wieloportowych kart sieciowych możliwa jest jednoczesna analiza wielu segmentów sieci jednocześnie bez ponoszenia dodatkowych kosztów sprzętowych. Wydajność sensorów NetScreen IDP sięga ponad 500 Mb/s (model IDP 500), a może być w razie potrzeby podwyższona do 2 Gb/s. NetScreen IDP posiada możliwości tworzenia klastrów HA, w których dwa lub więcej urządzeń współdzielą pomiędzy siebie poddawany kontroli ruch sieciowy. W celu stworzenia klastra nie jest wymagane stosowanie zewnętrznych urządzeń typu Load Balancer. - 95-procentowy współczynnik skuteczności wykrywania spamu 2 - Zapobieganie występowaniu fałszywych alarmów z dokładnością 99,9999% (mniej niż 1 fałszywy alarm na milion wiadomości) 3 - Filtrowanie 15% poczty elektronicznej wysyłanej na całym świecie i 100 miliardów wiadomości e-mail w ciągu miesiąca. Produkt używany przez 9 z 12 dostawców usług internetowych w USA 4 Architektura systemu składa się zasadniczo z dwóch części Rysunek 4. Pierwszą z nich jest sonda wpięta u klienta tak aby cały wchodzący i wychodzący ruch pocztowy (SMTP) sprawdzany był na urządzeniu przed dostarczeniem do adresata. Aby zminimalizować ryzyko wystąpienia fałszywych alarmów i wpływ na działanie poczty korporacyjnej w początkowym okresie testów urządzenie ustawione było w tryb znakowania poczty klasyfikowanej jako SPAM. W późniejszym okresie możliwe będzie automatyczne usuwanie przesyłek rozpoznanych jako SPAM. Drugą częścią architektury Symantec Mail Security jest Centrum Symantec w którym zbierane i opracowywane są aktualne informacje o wirusach, reputacji nadawcy czy domenach generujących spam. Moduł appliance zainstalowany u klienta podłączony jest bezpośrednio do globalnego Centrum Symantec (ang. Worldwide Brightmail Logistics Operations Center BLOC) w celu on - linowego uaktualniania wszystkich aktywnych filtrów i baz. W centrum BLOC kontrola zawartości i treści wiadomości jest prowadzona w dwunastu językach, co pozwala na praktycznie dowolne ustawianie reguł filtrowania treści wiadomości. 3. Symantec Mail Security 8200 Kolejnym urządzeniem którego testy chciałbym przedstawić jest Symantec Mail Security w wersji 8240. System został dostarczony do testów w wersji appliance, co według mnie jako testującego było jedynym sensownym i najmniej inwazyjnym rozwiązaniem. Jednocześnie wydajność aplikacji Symantec Mail Security osadzonej na urządzeniu appliance jest dużo większa i działa stabilniej, niż miało to by być instalowane na serwerze usługowym bądź aplikacyjnym. SMS 8240 jest urządzeniem z zintegrowanym firewall-em pocztowym, ochroną antyspamową i antywirusową. Posiada także filtr kontrolujący zawartość wiadomości pocztowych oraz rozbudowany system zintegrowanego zarządzania. Najważniejsze cechy Symantec Mail Security: - Czołowa w branży technologia Symantec Brightmail AntiSpam. - Ponad 20 technologii antyspamowych. - Ochrona zapewniana przez globalne centrum Worldwide Brightmail Logistics Operations Center (BLOC). Rys. 4. Architektura systemu Symantec Brightmail Antyspam Symantec dzięki funkcjonowaniu swojego centrum BLOC zapewnia stałą i nieprzerwaną pracę nad najnowszymi regułami zabezpieczeń. Główną zaletą usługi LiveUpdate jest niewielki rozmiar pliku mikrodefinicji przesyłanych do klientów. Program aktualizacyjny określa, które definicje wirusów znajdują się już w kliencie. Symantec Mail Security pobiera tylko tę część pliku, która zawiera nowe dane. 2 2 eweek, wrzesień 2003 3 E-Mail Security Solutions Providers Seek to Stop Spam and Viruses at the Perimeter, Yankee Group Report, luty 2004. 4 Top 22 U.S. ISP by Subscribers, 1 kwartał 2004.
P. Gościniak, W. Zabierowski, A. Napieralski Modern Techniques Of Detecting Network Vulnerabilities 4. Zbieranie materiału dowodowego Definicja samego przestępstwa komputerowego jest bardzo trudna i posiada wiele form. Nawet w środowiskach prawniczych można spotkać wiele jej interpretacji. W tej części referatu przedstawię czym jest w rozumieniu przestępstwa komputerowego mowa o wszelkich próbach uzyskania nieuprawnionego dostępu do danego hosta, kradzieży danych zawierających ważne informacje, atakom sieciowym zewnętrznym i wewnętrznym, świadomemu instalowaniu złośliwego oprogramowania, wirusów i wirusów komputerowych, oraz innym działaniom, które służą korzyści osoby atakującej Przy gromadzeniu dowodów elektronicznych, niezwykle ważne jest, aby w ramach kraju oraz na płaszczyźnie międzynarodowej obowiązywały pewne standardy: - zasady ogólnego zabezpieczenia dowodów elektronicznych, dotyczy to reguł wypracowanych przez grupy specjalistów, - polityki i doświadczenia organizacyjnego (planowania), kontroli, zbierania, utrwalania i sporządzania protokołów w ten sposób, aby zgromadzone dane posiadały odpowiedni poziom jakości i zapewniały integrację przeprowadzonych badań, - procedury i metody, tzn. rozwiązania w zakresie sprzętowym i programowym specyficzne dla kryminalistycznych badań sprzętu komputerowego wraz z instrukcjami użytkowania oraz z dokładną instrukcją przeprowadzania badań Jak już wspomniano, z punktu widzenia kryminalistyki, uzyskiwanie dowodów elektronicznych jest zagadnieniem bardzo szerokim. Warto jednak wspomnieć, że każdy przypadek zbierania dowodów elektronicznych jest indywidualny, w związku z tym do każdego przypadku podchodzić należy oddzielnie, nie wzorując się na poprzednich. Ważne, aby w wypadku konieczności gromadzenia dowodów elektronicznych, powstał do tego celu zespół ludzi. W skład zespołu powinny wchodzić przynajmniej dwie osoby, przy czym jedna powinna być biegła w zakresie informatyki, przynajmniej na poziomie ogólnym, aby móc kontrolować cały proces gromadzenia i zabezpieczania dowodów elektronicznych. 5. Podsumowanie Mając na uwadze rozwój zagrożeń postanowiłem opisać mechanizmy oraz rodzaje ataków skierowanych na systemy oraz sieci komputerowe w przystępny i zrozumiały dla czytającego tę pracę sposób. Starałem się przybliżyć rodzaje ataków, metody obrony przed nimi, korporacyjne systemy obrony przed atakami na sieć oraz system ochrony antyspamowej. W ostatniej części artykułu poświęcona będzie napisaniu kompendium wiedzy na temat bezpiecznej konfiguracji systemu komputerowego klasy Windows NT/200/XP. Opisałem również najnowszą dziedzinę z zakresu bezpieczeństwa teleinformatycznego a mianowicie zbieranie materiału dowodowego mającego na celu posłużenie się nim w ewentualnym późniejszym procesie karnym przeciw osobom naruszającym bezpieczeństwo systemu komputerowego. Z otrzymanych wyników pracy urządzenia Juniper IDP-200 wynikają następujące wnioski: - każdego dnia około 20.000 ataków lub nieprawidłowości w protokołach pojawia się na styku sieci teleinformatycznej badanej sieci z siecią publiczną Internet - część użytkowników sieci teleinformatycznej korzysta z tuneli sieciowych, celem ukrycia niedozwolonego ruchu, - każdego dnia wiele aplikacji szpiegujących próbuje wydostać się z sieci teleinformatycznej sieci chronionej do sieci Internet NetScreen-IDP to obecnie jedyne na rynku rozwiązanie zabezpieczeń IPS (ang. Intrusion Prevention System) zapewniające swoim klientom codziennie aktualizowaną bazę informacji o nowych zagrożeniach sieciowych i aplikacyjnych. Na bieżąco aktualizowane zabezpieczenia IDP umożliwią bardziej efektywną ochronę przed intruzami, trojanami i wirusami sieciowymi. Aktualizacja IDP dostarczana jest w każdym dniu roboczym oraz w razie potrzeby w dni świąteczne (np. w razie wykrycia krytycznych błędów bezpieczeństwa). Urządzenia zabezpieczające firmy Symantec jednocześnie optymalizują i wzmacniają bezpieczeństwo sieci dzięki elastycznym, wielowarstwowym rozwiązaniom udostępniającym światowe osiągnięcia w dziedzinie oprogramowania na wszystkich poziomach infrastruktury firmy i gwarantującym jej bezpieczeństwo. Innowacyjne funkcje zapory ogniowej dla poczty elektronicznej umożliwiają obniżenie kosztów infrastruktury poczty dzięki ograniczeniu niepożądanych połączeń. Z obserwacji logów urządzenia SMS 8240 wynikają następujące wnioski: - około 30% całej poczty przychodzącej do pracowników to spam, - ponad 14% wiadomości zawiera wirusy lub wirusy sieciowe, - użytkownicy nie otrzymywali niechcianych wiado mości. Literatura: [1] Charles E. Spurgeon, Ethernet podręcznik admin stratora, Warszawa, wydawnictwo RM, rok wyd. 2000r; [2] CERT - CERT Polska (Computer Emergency Response Team) [3] Maciej Szmit, Marek Gusta, Mariusz Tomaszewski 101 zabezpieczeń przed atakami sieciowymi, War szawa, wydawnictwo HELION, rok wyd. 2005; [4] Douglas Schweitzer ComputerForensics Toolkit In cident Response Wydawnictwo Wiley Publishing, Inc.
PIOTR GOŚCINIAK piotr-gosciniak@wp.pl WOJCIECH ZABIEROWSKI wojtekz@dmcs.p.lodz.pl al. Politechniki 11, 90-924 Łódź XIV Konferencja Sieci i Systemy Informatyczne