administracja i bezpieczeństwo systemów informatycznych
TRANSCRIPT
1
Systemy wykrywania włamań w aspekcie pogłębionej architektury
systemu bezpieczeństwa teleinformatycznego
Warszawska Wyższa Szkoła Informatyki
dr inż. Krzysztof Różanowski
2
Wprowadzenie
Celem jakichkolwiek działań z zakresu bezpieczeństwa
teleinformatycznego jest ochrona informacji, a nie
komputerów!
BezpieczeństwoSystemów Teleinformatycznych
3
Wprowadzenie
Dlaczego chronimy informację?
1. Ponieważ jest towarem (może mieć znaczenie
strategiczne)
2. Jest podstawowym elementem procesów biznesowych
3. Ze względu na obowiązujące wymagania prawne
BezpieczeństwoSystemów Teleinformatycznych
4
Określenie zagrożenia – przed czym się bronimy?
1. Włamywacz odczytuje poufne dane
2. Włamywacz zmienia dane
3. Włamywacz usuwa dane
4. Odmowa usługi
5. Włamywacz przeprowadza inne ataki z wykorzystaniem
zaatakowanego komputera
BezpieczeństwoSystemów Teleinformatycznych
5
Kim są wrogowie?
1. Krakerzy i hakerzy
2. Rozczarowani pracownicy
3. Rozczarowani byli pracownicy
4. Konkurencja
5. Szpiedzy
6. Przestępcy
7. Ekstremiści oraz terroryści
BezpieczeństwoSystemów Teleinformatycznych
6
Informacja
Ze względu na znaczenie dla użytkownika całą
wykorzystywaną przez niego, jak również jego dotyczącą
informację, dzieli się na wrażliwą i niewrażliwą.
Informacja wrażliwa – informacja mogąca zostać
wykorzystana przeciwko interesom podmiotu przez
ujawnienie, nie udostępnienie lub manipulację, np.:
- wszystkie informacje, które muszą być chronione ze
względu na obowiązujące przepisy prawne (Ustawa o
ochronie danych osobowych)
BezpieczeństwoSystemów Teleinformatycznych
7
Informacja c.d.
- informacje, które w połączeniu z innymi informacjami stają
się istotne
- informacje, dotyczące życia prywatnego członków zarządu
BezpieczeństwoSystemów Teleinformatycznych
Informacja
Informacje wrażliwe
I. niejawne Dane
osobowe
Rys. Rodzaje informacje [1]
8
Bezpieczeństwo teleinformatyczne
Bezpieczeństwo teleinformatyczne dotyczy zakresu form wymiany,
przechowywania i przetwarzania informacji ograniczonego do technicznych
środków łączności (sieci i systemy teleinformatyczne).
Definicja:
Bezpieczeństwo teleinformatyczne: poziom uzasadnionego
zaufania, że potencjalne straty wynikające z niepożądanego
(przypadkowego lub świadomego) ujawnienia, modyfikacji,
zniszczenia lub uniemożliwienia przetwarzania informacji
przechowywanej lub przesyłanej za pomocą systemów
teleinformatycznych nie zostaną poniesione
BezpieczeństwoSystemów Teleinformatycznych
9
Bezpieczeństwo teleinformatyczne
Atrybuty informacji związane z jej bezpieczeństwem
1. Poufność – opisuje stopień ochrony jakiej ma ona
podlegać. Stopień ten jest określany przez osoby lub
organizacje dostarczające i otrzymujące informację.
2. Integralność – oznacza, że dane i informacje są poprawne,
nienaruszone i nie zostały poddane manipulacji.
3. Dostępność – właściwość systemu teleinformatycznego
oznaczająca dostępność danych, procesów lub aplikacji
zgodnie z wymaganiami użytkownika
BezpieczeństwoSystemów Teleinformatycznych
10
Bezpieczeństwo teleinformatyczne
Bezpieczeństwa teleinformatycznego nie można rozpatrywać w
oderwaniu, uważając iż szeroko rozumiane bezpieczeństwo informacji
nas nie interesuje, gdyż zajmujemy się tylko tym co związane jest z
systemami i sieciami komputerowymi. Takie podejście prowadzi do
budowania dziurawych systemów bezpieczeństwa i jest nie zgodne z
uznanymi praktykami w tym zakresie, zapisanymi, np.: w postaci
normy ISO/IEC 17799
(http://www.iso.org/iso/en/ISOOnline.frontpage).
BezpieczeństwoSystemów Teleinformatycznych
11
Bezpieczeństwo teleinformatyczne
BezpieczeństwoSystemów Teleinformatycznych
Bezpieczeństwo informacji: informacje we wszelkiej
znanej postaci
Bezpieczeństwo teleinformacyjne: informacja
przekazywana za pomocą technicznych
środków łączności
Bezpieczeństwo teleinformatyczne:
informacja przetwarzana,
przechowywana i przesyłana w
systemach teleinformatycznych
Rys. Związki między różnymi rodzajami bezpieczeństwa informacji [1]
12
Bezpieczeństwo teleinformatyczne
Osiągnięcie założonego poziomu bezpieczeństwa
teleinformatycznego można przedstawić na trójetapowym
schemacie:
1.Planowanie bezpieczeństwa teleinformatycznego
2.Wdrażanie koncepcji bezpieczeństwa teleinformatycznego
3.Utrzymywanie bezpieczeństwa teleinformatycznego
BezpieczeństwoSystemów Teleinformatycznych
13
Zagrożenia - wewnętrzne
Przeciętnie około ¾ wszystkich incydentów związanych z
naruszaniem zasad bezpieczeństwa kojarzonych jest z
pracownikami danej firmy
Przeciętnie około 80% inwestycji związanych z
bezpieczeństwem w przedsiębiorstwach dotyczą ochrony
przed atakami z zewnątrz.
Ataki wewnętrzne (główne przyczyny):-Kradzież danych
-Szpiegostwo
-Sabotaż
-Zła wola
BezpieczeństwoSystemów Teleinformatycznych
14
Zagrożenia wewnętrzne
Najczęstsze efekty działań:
-usuwanie wartościowych danych przedsiębiorstwa
-publikowanie lub rozpowszechnianie danych poufnych
-zmiana uprawnień, haseł, itd..
-obraźliwe maile
Anatomia ataku wewnętrznego:
Kradzież kopii zapasowych (oprogramowania systemowego,
sprzętu)->atak na sieć lub system
BezpieczeństwoSystemów Teleinformatycznych
15
Zagrożenia zewnętrzne
Atak zewnętrzny – atak zainicjowany ze stacji pracującej poza
zaporą firewall.
BezpieczeństwoSystemów Teleinformatycznych
Anatomia ataku zewnętrznego:
Pozyskiwanie informacji o konfiguracji środowiska, sieci
(próby komunikacji z SNMP w celu uzyskania informacji o
routerach i zaporach)->Gromadzenie danych (adresy IP,
adresy MAC, informacje o trasach)->Zbieranie informacji o
pracujących w sieci systemach (np,: nmap (freeware)
->Naruszenie pierwszego pojedynczego systemu w sieci
wewnętrznej (np..: uruchomienie na jednej ze stacji sieciowej
oprogramowania typu backdoor.
16
Zagrożenia zewnętrzne
Script kiddies – osoby korzystające z gotowych narzędzi.
White hat hakers – osoby wyszukujące luk w
zabezpieczeniach systemów (możliwa współpraca z
producentami oprogramowania)
Black hat hakers – osoby wykorzystujące swoją wiedzę do
łamania systemów bezpieczeństwa
BezpieczeństwoSystemów Teleinformatycznych
17
Bezpieczeństwo wewnętrzne i zewnętrzne
Środki ochrony systemu:
1. Statyczne
2. Dynamiczne
Ad. 1 Instalacja i sposób zabezpieczenia systemu wraz z
opracowaniem dokumentacji
Ad. 2 Gromadzenie aktualnych informacji o lukach w
zabezpieczeniach oraz wprowadzanie niezbędnych korekt w
konfiguracji
BezpieczeństwoSystemów Teleinformatycznych
18
Zagrożenia internetowe
- Wirusy - Wykradanie tożsamości
- Robaki - Pharming
- Trojany - Phishing
- Spam - Skrypty ActiveX i HTTP
- Dialery - Szkodliwa zawartość WWW
- Spyware - Sieci Botnet
- Adware - Exploity
- Ataki DOS i DDOS - Backdoors
- Luki w zabezpieczeniach
- Ataki typu Buffer Overflow
- Rootkity
BezpieczeństwoSystemów Teleinformatycznych
19
Złośliwe oprogramowanie
Termin złośliwe oprogramowanie, obejmuje wirusy, robaki i konie
trojańskie, których celem jest dokonanie działań złośliwych na
systemach komputerowych.
-Koń trojański (zwany również kodem trojańskim lub trojanem)
Program który na pierwszy rzut oka wygląda na użyteczny bądź
nieszkodliwy, posiada jednak ukryty kod zaprojektowany tak, aby
wykorzystać luki w zabezpieczeniach systemu bądź uszkodzić go.
Trojany są najczęściej dostarczane za pośrednictwem poczty
elektronicznej i podszywają się pod jakiś znany program. Uszkadzają
system poprzez wykonanie załączonego, ukrytego programu.
http://www.microsft.com
BezpieczeństwoSystemów Teleinformatycznych
20
Złośliwe oprogramowanie
-Robak używa do replikacji własnych mechanizmów, przez co jest w
stanie w sposób całkowicie niezależny rozprzestrzeniać się w sieci.
Efektem działania robaków jest np. zużywanie zasobów systemowych
zainfekowanych komputerów, co może przerodzić się w atak typu
„odmowa obsługi” (ang. Denial of Service, DoS). Niektóre robaki są w
stanie samoczynnie się uruchamiać i rozprzestrzeniać; są również
takie, które wymagają bezpośredniego uruchomienia kodu przez
użytkownika. Poza replikacją robaki mogą również podejmować inne
działania.
-Wirus wykorzystuje kod stworzony do samoreplikacji. Wirusy
rozprzestrzeniają się poprzez dołączanie swojego kodu do programu-
nosiciela. Mogą uszkodzić sprzęt, oprogramowanie oraz dane. W
przypadku uruchomienia nosiciela, uruchamiany jest również kod
wirusa, który infekuje następnie nowe programy; czasami również
podejmuje dodatkowe działania.http://www.microsft.com
BezpieczeństwoSystemów Teleinformatycznych
21
Złośliwe oprogramowanie – diagram identyfikacji oprogramowania malware
http://www.microsft.com
BezpieczeństwoSystemów Teleinformatycznych
22
„Sniffer (ang. wąchacz) jest to program komputerowy,
którego zadaniem jest przechwytywanie i ewentualne
analizowanie danych przepływających w sieci. Wspólną cechą
wielu takich analizatorów jest przełączenie karty sieciowej w
tryb promiscous, w którym urządzenie odbiera wszystkie
ramki z sieci, także te nie adresowane bezpośrednio do niego;
sniffery mogą jednak być uruchamiane także na ruterze, lub
na komputerze będącym jedną ze stron komunikacji sieciowej
- i w tych przypadkach, tryb promiscuous nie jest konieczny.”
(http://pl.wikipedia.org)
BezpieczeństwoSystemów Teleinformatycznych
23
Najczęściej używanymi programami tego typu są:
• windump
• nessus
• tcpdump
• niffit
• ettercap
• dsniff
• ethereal
• snort (pełni także funkcję sieciowego systemu wykrywania
intruzów)
Skanery- przykłady:
BezpieczeństwoSystemów Teleinformatycznych
24
BezpieczeństwoSystemów Teleinformatycznych
Typ usługi Porty TCP Porty UDP
Usługi logowania Telnet: 23
SSH: 22
FTP: 21
NetBIOS: 139
rlogin: 512, 513,514
RPC i NFS Portmap/rcpbind: 111
NFS: 2049
Lockd: 4045
Portmap/rcpbind: 111
NFS: 2049
Lockd: 4045
X Window Od 6000 do 6255
Usługi nazewnicze DNS: blokowanie transferów
sieciowych poza zewnętrznymi
drugorzędnymi
LDAP: 389
DNS: blokowanie UDP 53 dla
wszystkich komputerów, które
nie są serwerami DNS
LDAP: 389
25
Typ usługi Porty TCP Porty UDP
Poczta elektroniczna SMTP: 25
POP: 109, 110
IMAP: 143
WWW HTTP: 80
HTTPS: 443
Poza zewnętrznymi
serwerami WWW.
Uwzględnić typowe porty
wybierane do komunikacji
8000,8080,8888
Rożne Finger: 79
NNTP: 119
SNMP: 161, 162
TFTP: 69
NTP: 123
SNMP: 161.162
ICMP Blokowanie
nadchodzących żądań
echo (ping i traceroute)
BezpieczeństwoSystemów Teleinformatycznych
26
Za pomocą skanowania można poznać topologię sieci i konfigurację
urządzeń dostępowych, np. listy dostępu (ACL) czy tablice routingu.
Zaawansowane techniki pozwalają ominąć urządzenia filtrujące oraz
ukryć źródło skanowania. Zrozumienie tego procesu wymaga pewnej
wiedzy o budowie i działaniu protokołów warstwy transportowej i
sieciowej.
Protokoły TCP oraz UDP korzystają z tej samej warstwy sieciowej IP.
Protokół TCP jest bardziej użyteczny podczas skanowania, gdyż
realizuje połączenia typu connection-oriented. Narzędzia skanujące
śledzą numery sekwencyjne pakietów oraz odpowiedzi systemu po
otrzymaniu pakietów TCP z włączonymi określonymi flagami.
Skanowanie sieci
BezpieczeństwoSystemów Teleinformatycznych
27
Kapsułkowanie danych TCP w IP *
Datagram IP ** - www.pckurier.pl
Protokół TCP/IP
BezpieczeństwoSystemów Teleinformatycznych
28
Najważniejsze pola w datagramie IP:
- TTL (długość życia pakietu)
- znaczniki
-przesunięcie fragmentacji
Pole TTL określa liczbę urządzeń przełączających warstwy sieciowej
(najczęściej routerów), przez które dany pakiet może być przesłany.
Pozostałe dwa pola odpowiadają za obsługę fragmentacji
datagramów IP.
Protokół TCP/IP
BezpieczeństwoSystemów Teleinformatycznych
29
Nagłówek TCP *
* - www.pckurier.pl
Protokół TCP/IP
BezpieczeństwoSystemów Teleinformatycznych
30
URG - znacznik ważności pola wskaźnik ponaglający (jeśli jest
ustawiony, to pole jest sprawdzane); oznacza, że w normalnym
potoku danych umieszczone zostały dane pilne;
ACK - znacznik ważności pola numer potwierdzenia (jeśli jest
ustawiony, pole jest sprawdzane);
PSH - oznacza, że dane po odebraniu powinny zostać przekazane
procesowi wyższej warstwy, który je przetwarza bez czekania na
wypełnienie się bufora lub kolejne segmenty. Znacznik ustawiany jest
przez proces wysyłający (aplikację). Jeśli jest ustawiony u nadawcy,
nakazuje on wysłać wszystko z bufora nadawczego, niezależnie od
stopnia jego wypełnienia;
RST - natychmiastowe (jednostronne) zamknięcie połączenia;
SYN - synchronizacja numerów sekwencyjnych w celu inicjalizacji
połączenia;
FIN - znacznik określający zamiar zamknięcia połączenia (druga
strona musi potwierdzić zamknięcie).
Flagi nagłówka TCP
BezpieczeństwoSystemów Teleinformatycznych
31
Proces nawiązywania połączenia - TCP
* - www.pckurier.pl
BezpieczeństwoSystemów Teleinformatycznych
32
1. Host wysyła pakiet z flagą SYN, inicjując numer sekwencyjny
związany z wybranym portem - flaga informuje, że należy
odczytać pole numer sekwencyjny, w którym umieszczany jest
początkowy numer sekwencyjny (ISN - Initial Sequence Number).
Wartość ISN jest istotna i powinna być losowa
2. Jeśli docelowy port jest otwarty, to host odbierający generuje
pakiet z flagą SYN, własnym numerem sekwencyjnym oraz flagą
ACK. W pole numer potwierdzenia wpisywana jest wartość pola
numer sekwencyjny (z pakietu hosta inicjującego połączenie)
powiększona o jeden (ACK = SYN+1). Jeśli port nie jest otwarty,
host docelowy zobowiązany jest wysłać pakiet z ustawionymi
bitami RST oraz ACK
Proces nawiązywania połączenia - TCP
BezpieczeństwoSystemów Teleinformatycznych
33
3. Host inicjujący połączenie odpowiada pakietem z ustawioną flagą
ACK informującą, że należy odczytać pole numer potwierdzenia,
w którym wpisana jest wartość równa ISN+1. Od tego momentu
połączenie jest nawiązane i gotowe do transmisji danych.
Proces nawiązywania połączenia - TCP
BezpieczeństwoSystemów Teleinformatycznych
34
Techniki skanowania portów z wykorzystaniem TCP:
- TCP connect
- TCP SYN
- SYN/ACK
- FIN
- XMAS
- NULL
- Inverse Mapping
- Spoofed Inverse Mapping
- IP ID idle scan
Podstawowe zadania narzędzi skanowania:
- ominąć filtry pakietów (ACL),
- nie dać się wykryć przez systemy IDS,
- ukryć się w typowym ruchu sieci.
BezpieczeństwoSystemów Teleinformatycznych
35
Metoda TCP connect wykorzystuje pełne połączenie z odległym
portem. Jeśli w fazie nawiązywania połączenia serwer odpowie
flagami SYN/ACK, oznacza to, że port jest otwarty w trybie nasłuchu
- flaga RST/ACK wskazuje na zamknięty port. Skanowanie kończy
pakiet RST, czyli czyste zamknięcie połączenia.
Spostrzeżenie to wykorzystuje technika półotwarcia - TCP SYN.
Technika TCP connect
BezpieczeństwoSystemów Teleinformatycznych
36
Metoda TCP SYN polega na wysłaniu pakietu RST zaraz po
otrzymaniu w drugiej fazie połączenia pakietu SYN/ACK lub
RST/ACK.
Zaleta: utrudniona wykrywalność
Wada - konieczność posiadania uprawnień zastrzeżonych dla
administratora.
Technika ta zbliżona jest do ataku DoS SYN Flood, dlatego też jest
często wykrywana przez systemy IDS (np. Snort) lub odfiltrowywana
na bramkach dostępowych.
Technika TCP SYN
BezpieczeństwoSystemów Teleinformatycznych
37
Metoda SYN/ACK wykorzystuje pakiety wysłane na wybrany port z
flagami SYN/ACK bez wcześniejszego zainicjowania połączenia
pakietem SYN. Wartość ACK w tym pakiecie odnosi się do
nieistniejącego połączenia. Skanowany system, jeśli odbierze taki
pakiet na otwartym porcie, zignoruje go, traktując jako uszkodzony.
Jeśli pakiet trafi na port zamknięty, wygenerowany zostanie pakiet
RST.
Wada:
- konieczność posiadania uprawnień administratora
- większość zapór ogniowych blokuje pakiety SYN/ACK na
zabronione porty, a skanowanie jest łatwo wykrywalne przez
programy, np. synlogger, courtney.
Technika SYN/ACK
BezpieczeństwoSystemów Teleinformatycznych
38
Metoda FIN wykorzystuje flagę FIN. Reakcja skanowanego systemu
jest identyczna jak w przypadku techniki SYN/ACK.
Metoda ta wykorzystuje błąd w obsłudze stosu TCP/IP, przez co
działa jedynie w systemach, gdzie błąd ten nie został poprawiony -
niektóre implementacje (np. Windows) są na nią odporne.
Zaleta: trudność detekcji i zablokowania.
Technika FIN
BezpieczeństwoSystemów Teleinformatycznych
39
Metoda XMAS wykorzystuje wszystkie flagi w pakiecie.
Otrzymując tak udziwniony pakiet, skanowany system odpowiada jak
w poprzednim przypadku, lecz dotyczy to również systemu Windows.
Technika XMAS
BezpieczeństwoSystemów Teleinformatycznych
40
Metoda NULL wykorzystuje pakiety bez ustawionej żadnej flagi.
Zgodnie z zaleceniami RFC 793, wszystkie hosty zobowiązane są
odpowiedzieć pakietem RST, jeżeli port jest zamknięty.
Wada: niektóre systemy (m.in. w Windows, CISCO, BSDI, HP/UX,
MVS i IRIX) z powodu niewłaściwej implementacji TCP/IP nie
ignorują pakietów NULL skierowane pod adresem otwartego portu,
lecz odpowiadają pakietem RST.
Technika NULL
BezpieczeństwoSystemów Teleinformatycznych
41
Metoda Inverse Mapping wykorzystuje wysyłanie pakietów z
ustawioną flagą RST.
HostSkanujacy -> {Pakiet RST} -> Router -> {zapytanie ARP o
adresie MAC} -> SUBNET <- {ICMP host unreachable (ICMP time
exceeded)}
Jeśli byłby to typowy pakiet (np. ping lub SYN/ACK), zostałby
zapisany w logach. Jeśli natomiast będzie to pakiet z ustawioną flagą
RST i losowym numerem ACK, istnieje duże prawdopodobieństwo,
że zostanie on zignorowany przez system ochrony, a wygeneruje
komunikat zwrotny.
Wada: brak odpowiedzi może oznaczać aktywność hosta, choć
równie prawdopodobne jest to, że router nie wygenerował
komunikatu ICMP, komunikat się zgubił lub wysłany przez
skanującego pakiet został odfiltrowany w drodze powrotnej.
Technika Inverse Mapping
BezpieczeństwoSystemów Teleinformatycznych
42
Metoda Spoofed Inverse Mapping polega na wykorzystaniu do
skanowania jeszcze jednego komputera.
Technika Spoofed Inverse Mapping
Host B skanuje, a host A jest dodatkowym komputerem. Wszystkie
pakiety wysyłane z hosta A powinny przechodzić przez host B, co w
praktyce oznacza, że oba hosty muszą znajdować się w jednym
segmencie sieci. Możliwe są dwie metody postępowania:
BezpieczeństwoSystemów Teleinformatycznych
43
Technika Spoofed Inverse Mapping
1. Wysyłać do hosta A pakiety z włączoną flagą ACK i sfałszowanym
adresem źródłowym wskazującym na host C. Host A odpowie na
takie pakiety segmentami RST skierowanymi do hosta C.
Ponieważ skanujący host znajduje się po drodze do hosta A,
będzie on w stanie wychwycić odpowiedź hosta C na pakiety
RST.
2. Aby nie zostawić śladu w logach na komputerze A, można od razu
wysyłać pakiety RST z fałszywym adresem źródła (wskazującym
na host A) do hosta C. Jeśli bramka wyśle komunikat ICMP
wskazujący na brak hosta C, skanujący host B może go odczytać.
BezpieczeństwoSystemów Teleinformatycznych
44
Implementacja stosu TCP/IP
Analiza otrzymanego pakietu RST poprzez ocenę:
- wielkości okna TCP
- pola TTL (Time To Live)
Odpowiedź RST można otrzymać na przykład wysyłając pakiet FIN
na wybrany port. Niektóre systemy operacyjne zwracają pakiet RST
z ustawionym polem TTL o wartości wyższej dla portów zamkniętych.
Porty otwarte zwrócą pakiet RST z niższą wartością TTL. W
poniższym przykładzie odpowiedź z portu 22 zawiera wartość TTL
mniejszą niż 64, co zdradza otwarty port:
pakiet 1: host XXX.XXX.XXX.XXX port 20: F:RST -> ttl: 70 win: 0 => port zamknięty
pakiet 2: host XXX.XXX.XXX.XXX port 21: F:RST -> ttl: 70 win: 0 => port zamknięty
pakiet 3: host XXX.XXX.XXX.XXX port 22: F:RST -> ttl: 40 win: 0 => port otwarty
pakiet 4: host XXX.XXX.XXX.XXX port 23: F:RST -> ttl: 70 win: 0 => port zamknięty
BezpieczeństwoSystemów Teleinformatycznych
45
Implementacja stosu TCP/IP
Sprawdzanie wielkości okna - różna od zera oznacza otwarty port.
Działa ona w systemach z rodziny BSD (FreeBSD, OpenBSD) oraz
Unix (AIX, DGUX), choć pojawiły się łaty w ich ostatnich wersjach. W
tym przypadku można zauważyć, że pole TTL nie zdradza stanu
portu, za to analiza wielkości okna daje dobre rezultaty:
pakiet 6: host XXX.XXX.XXX.XXX port 20: F:RST -> ttl: 64 win: 0 => port zamknięty
pakiet 7: host XXX.XXX.XXX.XXX port 21: F:RST -> ttl: 64 win: 0 => port zamknięty
pakiet 8: host XXX.XXX.XXX.XXX port 22: F:RST -> ttl: 64 win: 512 => port otwarty
pakiet 9: host XXX.XXX.XXX.XXX port 23: F:RST -> ttl: 64 win: 0 => port zamknięty
Metoda ta jest trudna do wykrycia. Pakiet RST może wygenerować
system skanowany w bardzo wielu przypadkach. Zadanie
skanującego ogranicza się wtedy do znalezienia takiego pakietu,
który nie zostanie zapisany w logach routera i zapory ogniowej
(względnie systemu IDS), ale spowoduje zwrócenie pakietu RST.
BezpieczeństwoSystemów Teleinformatycznych
46
IP ID idle scan
Metoda IP ID idle scan zależna jest od implementacji stosu TCP/IP
konkretnego systemu operacyjnego. Wykorzystuje ona wcześniej
opisaną technikę skanowania SYN, czyli nawiązywania połączenia
TCP. Różnica polega na wykorzystaniu trzeciego hosta jako źródła
pakietów, co pozwala na ukrycie własnego adresu.
Aby skorzystać z tej techniki, trzeba zlokalizować w Internecie tzw.
niemy (dumb) host, który nie wysyła i nie odbiera żadnych pakietów.
W tym scenariuszu biorą udział trzy hosty:
1. A - skanujący,
2. B - niemy,
3. C - skanowany, czyli cel.
BezpieczeństwoSystemów Teleinformatycznych
47
IP ID idle scan
Technika ta wykorzystuje to, że wiele systemów operacyjnych
wpisuje kolejne liczby w pole IP ID nagłówka pakietu IP. Windows NT
zwiększa to pole stopniowo o wartość 256, Linux o 1. Jedynie system
OpenBSD losuje te wartości, przez co nie można go wykorzystać
jako niemy host. Skanowanie zaczyna host A, wysłając do hosta B
pakiety ping i sprawdzając wartości pola IP ID. W przypadku Linuksa
wartości te powinny rosnąć o jeden, co oznacza, że host B nie
wysyła ani nie odbiera żadnych pakietów:
#hping B -r HPING B (eth0 xxx.yyy.zzz.jjj): no flags are set, 40 data bytes
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=0 ttl=64 id=41660 win=0 time=1.2 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=1 ttl=64 id=+1 win=0 time=75 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=2 ttl=64 id=+1 win=0 time=91 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=3 ttl=64 id=+1 win=0 time=90 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=4 ttl=64 id=+1 win=0 time=91 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=5 ttl=64 id=+1 win=0 time=87 ms
BezpieczeństwoSystemów Teleinformatycznych
48
IP ID idle scan
Host A wysyła do hosta C na dowolny port pakiet SYN/ACK
(pierwsza faza nawiązywania połączenia TCP) ze sfałszowanym
adresem nadawcy wskazującym na host B sprawdzając IP ID. Host
C odpowiada na taki pakiet w sposób zdefiniowany w RFC:
-SYN/ACK, jeśli port jest otwarty w trybie nasłuchu. Na taki pakiet
host B, który nic nie wie o połączeniu, odpowie pakietem RST, a więc
zwiększone będzie pole ID IP o więcej niż 1.
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=17 ttl=64 id=+1 win=0 time=96 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=18 ttl=64 id=+1 win=0 time=80 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=19 ttl=64 id=+2 win=0 time=83 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=20 ttl=64 id=+3 win=0 time=94 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=21 ttl=64 id=+1 win=0 time=92 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=22 ttl=64 id=+2 win=0 time=82 ms
BezpieczeństwoSystemów Teleinformatycznych
49
IP ID idle scan
-RST/ACK, jeśli docelowy port na hoście C jest zamknięty. Host B
zignoruje taki pakiet.
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=52 ttl=64 id=+1 win=0 time=85 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=53 ttl=64 id=+1 win=0 time=83 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=54 ttl=64 id=+1 win=0 time=93 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=55 ttl=64 id=+1 win=0 time=74 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=56 ttl=64 id=+1 win=0 time=95 ms
60 bytes from xxx.yyy.zzz.jjj: flags=RA seq=57 ttl=64 id=+1 win=0 time=81 ms
Host A przez cały czas analizował zmiany w polu IP ID z hosta B.
Jeśli pole zwiększyło się o więcej niż jeden w kolejnym pakiecie,
znaczy to, że host B odpowiedział pakietem RST na połączenie z
hosta C, zdradzając w ten sposób, że port jest otwarty.
BezpieczeństwoSystemów Teleinformatycznych
50
Oszukiwanie wykrywaczy
Metody ukrywania skanowania portów.
- Skanowanie portów w losowej kolejności:: niektóre systemy IDS
wykrywają sekwencyjne połączenia z jednego adresu źródłowego
z kolejnymi portami. Wystarczy wprowadzić losowość przy
wyborze portów do skanowania, by ominąć to zabezpieczenie
- Powolne skanowanie: system IDS lub dowolny inny stwierdzi
próbę skanowania systemu, jeśli wykryje kolejne połączenia z
jednego źródła do różnych portów w określonym czasie, np. za
skanowanie uważana będzie próba nawiązania 5 połączeń na
różne porty z jednego adresu w czasie 3 sekund - wiedząc to,
można uniknąć wykrycia poprzez skanowanie 5 połączeń w ciągu
4 sekund. W przypadku nieznanych ustawień można skanowanie
spowolnić do kilku pakietów na dzień
BezpieczeństwoSystemów Teleinformatycznych
51
Oszukiwanie wykrywaczy
- Fragmentacja pakietów: część istniejących systemów IDS nie
składa defragmentowanych pakietów bądź to w obawie przed
atakiem DoS, bądź z braku takiej funkcji. Dokument RFC791
określa minimalny rozmiar zdefragmentowango pakietu na 8
oktetów, czyli mniej niż nagłówek TCP + IP, przez co flagi TCP
znajdują się w innym fragmencie niż nagłówek (segment TCP jest
hermetyzowany w pakiecie IP). Nie widząc całego pakietu,
system nie jest w stanie poprawnie go rozpoznać. Rozwiązaniem
problemu jest skonfigurowanie bramki (zapory ogniowej lub
routera), tak by składała w całość wszystkie zdefragmentowane
pakiety
- Odwrócenie uwagi: polega na stworzeniu obfitego strumienia
skanujących pakietów ze sfałszowanymi adresami nadawcy.
Wśród tych pakietów co jakiś czas znajdować się będzie adres
prawdziwego hosta inicjującego skanowanie
BezpieczeństwoSystemów Teleinformatycznych
52
Oszukiwanie wykrywaczy
- Fałszowanie adresu nadawcy: komputer skanujący fałszuje
wszystkie adresy nadawcy, dbając jedynie o to, by przynajmniej
jeden z fałszowanych adresów znajdował się w jego podsieci.
Dzięki temu host skanujący jest w stanie podsłuchiwać pakiety
zwrotne, nie zdradzając swojego adresu
- Skanowanie rozproszone: skoordynowane skanowanie może być
wykorzystane w połączeniu z powolnym skanowaniem w celu
wykonania praktycznie niewykrywalnego skanowania w
rozsądnym czasie. Technika ta wymaga jednak wcześniejszych
przygotowań i znacznych zasobów.
BezpieczeństwoSystemów Teleinformatycznych
53
Ewolucja zagrożeń internetowych
Front rosnący:
- Narzędzia szpiegowskie
- Targetowane ataki
- Rootkity
- Sieci typu Botnet
- Targetowany phishing
Front stabilny:
- Robaki
- Spam
- Spyware
Front zanikający:
-Wirusy
BezpieczeństwoSystemów Teleinformatycznych
54
Liczba nowych modyfikacji złośliwych programów wykrytych w ciągu jednego
miesiąca
* Na podstawie http://www.kaspersky.pl
BezpieczeństwoSystemów Teleinformatycznych
Aktywność złośliwych programów
Klasa Udz. % Zmiana
TrojWare 91,79 +2,79%
VirWare 4,70 -1,3%
MalWare 3,51 -1,49%
55
Liczba nowych modyfikacji oprogramowania klasy TrojWare, wykrywanych
każdego miesiąca przez analityków firmy Kaspersky Lab
* Na podstawie http://www.kaspersky.pl
BezpieczeństwoSystemów Teleinformatycznych
Aktywność złośliwych programów
56
BezpieczeństwoSystemów Teleinformatycznych
Liczba nowych programów z klasy VirWare wykrywanych przez analityków
firmy Kaspersky Lab w poszczególnych miesiącach
* Na podstawie http://www.kaspersky.pl
Aktywność złośliwych programów
57
Nowoczesna ochrona
Metoda proaktywna kontroluje następującą aktywność*:
1. Podejrzane zachowanie: analizuje wszystkie procesy załadowane
w systemie, zapisuje zmiany wykonywane w rejestrze i systemie
plików.
2. Uruchamianie przeglądarki internetowej z parametrami:
przechwytywanie ukrytych uruchomień przeglądarki internetowej z
parametrami.
3. Ingerencja w inny proces: przechwytuje wszystkie próby dodania
kodu do innych aplikacji.
* Na podstawie http://www.kaspersky.pl
BezpieczeństwoSystemów Teleinformatycznych
58
Nowoczesna ochrona
4. Ukryte procesy (rootkit): wykrywa modyfikacje wykonywane przez
rootkity, które mają na celu ukrycie przed użytkownikiem plików i
folderów, kluczy i wartości rejestru, uruchamianych programów, usług
systemowych, sterowników, połączeń i aktywności sieciowej.
5. Window Hook: przechwytuje próbę ingerencji biblioteki (*.dll) w
procesy systemowe.
6. Podejrzane wpisy w rejestrze: przechwytuje próbę stworzenia
“ukrytych” wpisów w rejestrze, które nie są wykrywane przez
standardowe programy (np.: do edycji rejestru) .
7. Podejrzana aktywność systemu: wykrywa zmiany w systemie
wskazujące na obecność aktywnego szkodliwego kodu.
BezpieczeństwoSystemów Teleinformatycznych
59
IDS - Intrusion Detection System
Zadanie systemu wykrywania intruzów polega na identyfikacji i
reagowaniu na nieautoryzowaną działalność skierowaną
przeciwko chronionym zasobom sieciowym.
Wyróżnia się trzy główne rodzaje systemów IDS:
- hostowe (HIDS - Host IDS)
- sieciowe (NIDS - Network IDS)
- hybrydowe (NNIDS - Network Node IDS). Różnią się one
lokalizacją w sieci oraz zakresem działania.
BezpieczeństwoSystemów Teleinformatycznych
60
BezpieczeństwoSystemów Teleinformatycznych
Internet
Firewall
Serwer
WWW
Serwer
WWW
Serwer
poczty
Serwer
DNS
HIDS HIDS
HIDS HIDS HIDS HIDS
61
BezpieczeństwoSystemów Teleinformatycznych
Internet
Firewall
Serwer
WWW
Serwer
WWW
Serwer
poczty
Serwer
DNS
NIDS NIDS
NIDS
62
Internet
Firewall
Serwer
WWW
Serwer
WWW
Serwer
poczty
Serwer
DNS
NIDS 1
NIDS
NIDS 2
NIDS 3 NIDS 4
Prywatna sieć zarządzania Prywatna sieć zarządzania
Centralny system
zarządzający NIDS
BezpieczeństwoSystemów Teleinformatycznych
63
IDS - Intrusion Detection System
Systemy HIDS można podzieli na trzy kategorie:
1. Tradycyjne - z programem agenta zainstalowanym na każdej
chronionej maszynie. Agent nadzoruje logi systemowe, dziennik
zdarzeń, kluczowe pliki systemowe oraz inne zasoby, które mogą
podlegać weryfikacji. Podejrzane działania wykrywane są po ich
zarejestrowaniu przez system. Ostrzeżenia o nadużyciach i
zauważonej nieautoryzowanej działalności wysyłane są poprzez
sieć do centralnej konsoli.
BezpieczeństwoSystemów Teleinformatycznych
64
IDS - Intrusion Detection System
Systemy HIDS można podzieli na trzy kategorie:
2. Programy badające integralność plików - sprawdzają status
kluczowych plików systemowych oraz rejestru. Zapamiętują stan
wybranych plików (najczęściej poprzez stworzenie bazy z sumami
kontrolnymi) i w określonym czasie dokonują porównania
ze stanem bieżącym. Taki sposób działania pozwala wykryć
podmiany plików (np. na konia trojańskiego) oraz zmiany w
konfiguracji. Przykładem takiego programu jest Tripwire.
BezpieczeństwoSystemów Teleinformatycznych
65
IDS - Intrusion Detection System
Systemy HIDS można podzieli na trzy kategorie:
3. Systemy zapobiegania włamaniom (IPS – Intrusion Protect
System) – przyjmują aktywną postawę w stosunku do zagrożeń -
integrują się z systemem operacyjnym, przechwytując wywołania
systemowe jądra lub interfejsów programowych API. W
momencie wykrycia podejrzanych działań programy IPS są w
stanie zablokować wywołanie danej funkcji i udaremnić atak.
BezpieczeństwoSystemów Teleinformatycznych
66
IDS - Intrusion Detection System
Z punktu widzenia systemów IDS istnieją trzy kategorie ataków:
1. Ataki rozpoznawcze - takie jak rozpoznanie sieci, tworzenie
mapy systemu z uwzględnieniem jej krytycznych punktów, np.
serwerów DNS, kontrolerów domeny.
2. Właściwe ataki - polegające na próbie wykorzystania znanych i
nieznanych luk w systemach operacyjnych i aplikacjach.
Najczęściej wykorzystuje się w tym celu przepełnienie bufora w
aplikacji lub błędy w interpretacji nietypowych danych
wejściowych.
3. Ataki typu odmowa dostępu do usług (Denial of Service)
BezpieczeństwoSystemów Teleinformatycznych
67
IDS - Intrusion Detection System
Istnieją też trzy podstawowe techniki wykrywania ataków stosowane
w klasycznych systemach IDS:
1. Sygnatury - dopasowywanie wzorców: zestawów bajtów, wyrażeń
regularnych (regular expression).
2. Badanie częstości zdarzeń i przekraczania pewnych limitów w
określonej jednostce czasu.
3. Wykrywanie anomalii statystycznych, np. nagłe odstępstwo
rozmiarów pakietów IP od przeciętnego rozmiaru obserwowanego
w danej sieci.
BezpieczeństwoSystemów Teleinformatycznych
68
BezpieczeństwoSystemów Teleinformatycznych
Do głównych (priorytetowych) zadań systemów IDS należy:
analiza aktywności systemu i użytkowników
wykrywanie zbyt dużych przeciążeń
analiza plików dziennika
rozpoznawanie standardowych działań włamywacza
natychmiastowa reakcja na wykryte zagrożenie
tworzenie i uruchamianie pułapek systemowych
wykrywanie podatności systemu na ataki
ocena integralności poszczególnych części systemu wraz z danymi
Podsumowanie
69
System Fedora Linux posiada możliwość monitorowania
i zapisywania prawie każdego działania, które ma
miejsce w systemie.
BezpieczeństwoSystemów Teleinformatycznych
70
LogSentry
Pakiet LogSentry to narzędzie, które ułatwia zarządzanie
systemem plików dzienników.
LogSentry zwraca uwagę administratora, na rzeczy które
mogłoby być niezauważone.
Sprawdza pliki dzienników generowane przez standardowe
narzędzie systemu Linux, syslog, filtruje wiadomości, które
informują o zagrożeniach dla systemu, a następnie porządkuje
je według kategorii i przesyła w postaci komunikatu do
administratora systemu.
BezpieczeństwoSystemów Teleinformatycznych
71
LogSentry
Domyślnie LogSentry sprawdza wiadomości w plikach
dzienników messages, secure, mail (/var/log).
Istnieje możliwość zmiany wykorzystywanych plików
dzienników, funkcji, które monitoruje pakiet, poziom
monitorowania syslog oraz częstotliwość generowanych
raportów.
BezpieczeństwoSystemów Teleinformatycznych
72
Demon syslogd
BezpieczeństwoSystemów Teleinformatycznych
Tab. Poziomy wiadomości
Poziom Co oznacza
alert wymagana jest natychmiastowa interwencja
crit stan krytyczny
debug szczegółowe informacje o stanie przetwarzania
emerg system w stanie niestabilnym
err wystąpienie błędu
info informacyjny
notice ważne, ale nie informuje o wystąpieniu błędu
warning potencjalna możliwość wystąpienia błędu
73
Zawartość pliku konfiguracyjnego /etc/syslog.conf
BezpieczeństwoSystemów Teleinformatycznych
74
LogSentry
1. Pobieranie i instalacja pakietu LogSentry
# rpm –Uhv logsentry*
2. Pliki konfiguracyjne:
- logsentry.cron (uruchamia skrypt logcheck.sh -
/etc/cron.d/)
- logtail, logcheck.sh (/usr/bin)
- README (/usr/share/doc/logcheck*)
BezpieczeństwoSystemów Teleinformatycznych
75
LogSentry - korzystanie
Wiadomości przesyłane w postaci komunikatu e-mail do
administratora są uporządkowane według następujących
kategorii:
•Active System Attack Alerts – wskazują na próby, które
mogą być włamaniami do systemu
•Security Violations – informacje o błędach i naruszeniach
zabezpieczeń, które mogą wskazywać na istnienie problemów,
ale niekoniecznie muszą być włamaniami do systemu
•Unusual System Events – zawiera wszystkie wiadomości
dziennika zdarzeń, które nie pasują do powyższych kategorii,
ale nie mogą być pominięte.
BezpieczeństwoSystemów Teleinformatycznych
76
LogSentry - dopasowanie
Modyfikacja skryptu /usr/sbin/logcheck.sh odbywa się
poprzez zmianę wartości zmiennych wewnątrz skryptu:
- SYSADMIN: definiuje konto użytkownika root
- TMPDIR: definiuje miejsce, w którym zapisywane są pliki
tymczasowe
- GREP: wskazuje na polecenie, które jest wykorzystywane
do przeszukiwania plików dzienników
- MAIL: wiadomość jest wysyłana przez LogSentry z
wykorzystaniem polecenia mail
BezpieczeństwoSystemów Teleinformatycznych
77
LogSentry – dopasowanie c.d
- Filter files: LogSentry definiuje 4 pliki filtrów. Każdy z nich
zawiera słowa kluczowe wykorzystywane do odszukiwania
wiadomości lub ich pomijania:
- HACKING FILE=/etc/logsentry/logcheck.hacking
- VIOLATIONS FILE=/etc/logsentry/logcheck.violations
- VIOLATIONS_IGNORE FILE=
=/etc/logsentry/logcheck.violations.ignore
- IGNORE_FILE=/etc/logsentry/logcheck.ignore
BezpieczeństwoSystemów Teleinformatycznych
78
LogSentry – dopasowanie c.d
-Log files: domyślnie skrypt logcheck.sh uruchamia polecenie
logtail do sprawdzania zawartości plików messages, secure,
maillog (/var/log). Następujące linie definiują, które pliki
dzienników są sprawdzane oraz miejsce, gdzie logtail zapisuje
pliki tymczasowe:
- $logtail /var/log/messages > $TMPDIR/check.$$
- $logtail /var/log/secure > $TMPDIR/check.$$
- $logtail /var/log/maillog > $TMPDIR/check.$$
BezpieczeństwoSystemów Teleinformatycznych
79
LogSentry – modyfikacja plików filtrów
1. /etc/logsentry/logcheck.hacking – zawiera słowa kluczowe
znajdujące się w wiadomościach dzienników zdarzeń, które
wskazują na włamanie do systemu
2. /etc/logsentry/logcheck.ignore – zawiera słowa kluczowe
odpowiadające wiadomościom, które powinny być zawsze
pomijane
3. /etc/logsentry/logcheck.violations – zawiera słowa kluczowe
odpowiadające próbom naruszenia systemu zabezpieczeń,
które nie koniecznie muszą odpowiadać włamaniom do
systemu
4. /etc/logsentry/logcheck.violations.ignore – zawiera słowa
kluczowe odpowiadające wiadomościom, które należy
pomijać, chociaż informują o naruszeniach bezpieczeństwa
BezpieczeństwoSystemów Teleinformatycznych
80
BezpieczeństwoSystemów Teleinformatycznych
Plik /etc/logsentry/logcheck.hacking
81
BezpieczeństwoSystemów Teleinformatycznych
Plik /etc/logsentry/logcheck.ignore
82
BezpieczeństwoSystemów Teleinformatycznych
Plik /etc/logsentry/logcheck.violations
83
BezpieczeństwoSystemów Teleinformatycznych
Plik /etc/logsentry/logcheck.violations.ignore
84
BezpieczeństwoSystemów Teleinformatycznych
LogSentry logging
85
BezpieczeństwoSystemów Teleinformatycznych
LogSentry logging <- nessus
86
BezpieczeństwoSystemów Teleinformatycznych
LogSentry logging <- nessus
87
BezpieczeństwoSystemów Teleinformatycznych
LogSentry logging <- nessus
88
BezpieczeństwoSystemów Teleinformatycznych
LogSentry logging <- nessus
Raport Nessus
89
PortSentry
PortSentry podejmuje aktywny udział w ochronie
systemu przed włamaniami z poziomu sieci. Narządzie
PortSentry może być wykorzystane do monitorowania
wybranych portów TCP i UDP, a także może reagować
na próby uzyskania dostępu do tych portów.
PortSentry działa jako uzupełnienie LogSentry poprzez
aktywne wyszukiwania włamań do portów sieciowych.
BezpieczeństwoSystemów Teleinformatycznych
90
PortSentry
PortSentry działa w kilku różnych trybach:
1. Basic – to tryb, którego narzędzie używa
standardowo. Wybrane porty TCP i UDP w tym
trybie są powiązane z PortSentry, dzięki czemu
monitorowane porty wyglądają jakby oferowały
usługi dla sieci.
2. Stealth – w tym trybie PortSentry nasłuchuje portów
na poziomie warstwy gniazda (zamiast wiązać się z
portami). Ten tryb może wykrywać różne techniki
skanowania (SYN, FIN, XMAS). Może czasami
generować fałszywe alarmy.
BezpieczeństwoSystemów Teleinformatycznych
91
PortSentry
PortSentry działa w kilku różnych trybach:
3. Advanced Stealth – tryb oferuje tę samą metodę
detekcji co tryb stealth, ale zamiast monitorować
tylko wybrane porty, monitoruje wszystkie porty
poniżej wybranego (domyślnie jest to port 1023).
Można wyłączyć monitorowanie określonych portów.
BezpieczeństwoSystemów Teleinformatycznych
92
PortSentry - instalacja
Instalacja pakietu:
#rpm –Uhv portsentry*
Zainstalowany pakiet składa się z plików
konfiguracyjnych znajdujących się w katalogu:
/etc/portsentry, skryptu uruchomieniowego portsentry
(/etc/init.d/portsentry), polecenia portsentry (/usr/sbin)
oraz plików README znajdujące się w katalogu
(/usr/share/doc/portsentry*)
BezpieczeństwoSystemów Teleinformatycznych
93
PortSentry - korzystanie
1. Skrypt uruchomieniowy /etc/init.d/portsentry jest
uruchamiany automatycznie podczas startu systemu
na poziomie 3, 4, 5.
2. Istnieje ciąg portów zdefiniowanych domyślnie, który
jest monitorowany.
3. W odpowiedzi na ataki (za które uznawane jest
skanowanie monitorowanych portów) wszystkie
kolejne próby połączenia się z usługami protokołu
TCP (UDP) będą blokowane.
BezpieczeństwoSystemów Teleinformatycznych
94
PortSentry - korzystanie
Komputery, których dostęp do systemu został
zablokowany, są wymienione w plikach
portsentry.blocked.tcp lub portsentry.blocked.udp
znajdujące się w katalogu /var/portsentry.
Usunięcie określonych wpisów powoduje przywrócenie
dostępu dla wybranych komputerów.
BezpieczeństwoSystemów Teleinformatycznych
95
PortSentry - konfiguracja
Konfiguracja narzędzia PortSentry możliwa jest poprzez
modyfikację pliku /etc/portsentry/portsentry.conf. W pliku tym
istnieje możliwość wyboru:
-plików, które mają być monitorowane
-trybu monitorowania
-sposobu działania po wykryciu próby skanowania.
Odpowiedzi mogą obejmować:
-blokowanie dostępu dla zdalnego komputera
-przekierowanie wiadomości pochodzących od zdalnego komputera
do nieaktywnego komputera
-dopisanie reguły firewalla blokującej pakiety pochodzące od
zdalnego komputera.
BezpieczeństwoSystemów Teleinformatycznych
96
PortSentry – konfiguracja (wybór portów)
Istnieje możliwość modyfikacji pliku
/etc/portsentry/portsentry.modes do zmiany trybu uruchamiania
narzędzia PortSentry.
Plik portsentry.conf definiuje porty, które są monitorowane w
trybach basic i stealth. Opcje TCP_PORTS i UDP_PORTS definiują,
które porty są monitorowane.
Porty przypisane do monitorowania są wybierane na podstawie kilku
różnych kryteriów. Porty niższe (1,11,15, itd.) są wybierane do
przechwytywania skanerów portów, które zaczynają działania od
portu 1. Kolejną metodą jest dołączenie portów, które są testowane
przez włamywaczy, ponieważ związane z nimi usługi są podatne na
ataki (systat – port 11, netstat – port 15).
BezpieczeństwoSystemów Teleinformatycznych
97
PortSentry – konfiguracja (wybór portów)
Jeżeli następuje zmiana trybu pracy z basic na stealth portami
monitorowanymi są porty wskazywane przez opcje:
ADVANCED_PORT_TCP i ADVANCED_PORT_UDP. Domyślna
wartość to:ADVANCED_PORT_TCP=”1023”
ADVANCED_PORT_UDP=”1023”
Można wyłączyć porty ze skanowania za pomocą opcji:
ADVANCED_EXCLUDE_TCP i ADVANCED_EXCLUDE_UDP.
Domyślne ustawienia:
ADVANCED_EXCLUDE_TCP=”111,113,139”
ADVANCED_EXCLUDE_UDP=”520,138,137,67”
BezpieczeństwoSystemów Teleinformatycznych
98
PortSentry – konfiguracja (wybór portów)
Domyślnie usługi ident i NetBIOS dla TCP -porty 111,113,139
Domyślnie usługi route, NetBIOS, Bootp dla UDP –porty
520,138,127,67
Porty te są wyłączone z zaawansowanego skanowania, ponieważ
zdalny komputer może odwołać się do tych portów bez wrogich
zamiarów.
BezpieczeństwoSystemów Teleinformatycznych
99
PortSentry – identyfikacja plików konfiguracyjnych
Oprócz pliku portsentry.conf istnieją inne pliki konfiguracyjne
wykorzystywane przez PortSentry. Pliki te zdefiniowane są w pliku
portsentry.conf:
# Ignorowane komputery
IGNORE_FILE=/etc/portsentry/portsentry.ignore
# Komputery, którym odmówiono dostępu (historia)
HISTORY_FILE=/etc/portsentry/portsentry.history
# Komputery, którym odmówiono dostępu tylko w tej sesji
(tymczasowo)
BLOCKED_FILE=/var/portsentry/portsentry.blocked
BezpieczeństwoSystemów Teleinformatycznych
10
0
PortSentry – określenie reakcji
Opcje BLOCK_TCP i BLOCK_UDP definiują reakcję na
skanowanie portów. Domyślnie definicje tych opcji mają postać:
BLOCK_TCP=”2”
BLOCK_UDP=”2”
-wartość „2” (wartość domyślna) powoduje tymczasowe
zablokowanie dostępu do usług skanowanego portu oraz zapisanie
zdarzenia w dzienniku zdarzeń. Jeżeli jakieś polecenia zostały
zdefiniowane przez opcję KILL_RUN_CMD to polecenie jest
uruchamiane.
-wartość „0” powoduje zapisanie dziennika zdarzeń, ale nie
prowadzi do zablokowania zdalnego dostępu
-wartość „1” powoduje uruchomienie opcji KILL_ROUTE i
KILL_HOSTS_DENY.
BezpieczeństwoSystemów Teleinformatycznych
10
1
PortSentry – określenie reakcji
Domyślnie kolejne żądania nadchodzące od zdalnego komputera
zostaną przekierowane do nieaktywnego komputera, a adres IP
zdalnego komputera zostanie dopisany do pliku /etc/hosts.deny, co
spowoduje zablokowanie dostępu do usług sieciowych.
KILL_ROUTE – opcja uruchamia polecenie /sbin/route. Domyślne
ustawienie:
KILL_ROUTE=”/sbin/route add –host $TARGET$ gw 127.0.0.1 ”
KILL_HOSTS_DENY – opcja jest wykorzystywana do odrzucania
żądań skierowanych do usług sieciowych, które są chronione. Ta
opcja jest domyślnie zdefiniowana następująco:
KILL_HOSTS_DENY=”ALL: $TARGET$”
BezpieczeństwoSystemów Teleinformatycznych
10
2
PortSentry – określenie reakcji
KILL_RUN_CMD – definicja dowolnego polecenia wykonywanego
jako odpowiedź na działanie. Wartość opcji powinna być pełną
ścieżką do skryptu
PORT_BANNER – można wysłać wiadomość do osoby, która
uruchamia monitor PortSentry
Np.: PORT_BANNER=”**Unauthorized access prohibited**
Your connection attemp has been logged. Go away.”
SCAN_TRIGGER – liczba skanowań pochodzących od komputera
zdalnego przed uruchomieniem „odpowiedzi” PortSentry.
Domyślnie wartość wynosi 0.
BezpieczeństwoSystemów Teleinformatycznych
10
3
PortSentry – modyfikacja portsentry.modes
Plik /etc/portsentry/portsentry.modes definiuje tryby uruchamiania
PortSentry podczas włączania systemu:
tcp
udp
#stcp
#sudp
#atcp
#audp
Opcje tcp i udp to podstawowe tryby pracy PortSentry. Pozostałe
obejmują stealth (stcp) i advanced (atcp). Jednocześnie może działać
tylko jeden tryb pracy.
BezpieczeństwoSystemów Teleinformatycznych
10
4
BezpieczeństwoSystemów Teleinformatycznych
Skanowanie zdalnego hosta
10
5
BezpieczeństwoSystemów Teleinformatycznych
Info Mail z wykrycia procesu skanowania
10
6
BezpieczeństwoSystemów Teleinformatycznych
Zablokowanie dostępu do skanowanego hosta
10
7
BezpieczeństwoSystemów Teleinformatycznych
LogSentry logging <- nessus
Raport Nessus
10
8
BezpieczeństwoSystemów Teleinformatycznych
Wylistowania reguł firewall’a
10
9
BezpieczeństwoSystemów Teleinformatycznych
Modyfikacja reguły firewall – uzyskanie dostępu
11
0
Ochrona sieci - podsumowanie
Strategia nowego podejścia:
1. Konieczność stosowania technologii proaktywnych, skanowanie
oparte o sygnatury jest niewystarczające
2. Konieczność stosowania rozbudowanych, zintegrowanych
systemów ochrony, sam antywirus jest niewystarczający
3. Konieczność stosowania ochrony wszystkich elementów sieci
(stacje robocze, serwery, bramy internetowe)
4. Konieczność stosowania systemu ochrony z centralnym
zarządzaniem, dostępnym z poziomu ujednoliconego interfejsu.
BezpieczeństwoSystemów Teleinformatycznych
11
1
Ochrona sieci - podsumowanie
Wielomodułowa ochrona:
1.Antivirus + Antispare + Antiphishing + Antispam
2.Technologie proaktywne (heurystyka genetyczna)
3.Ochrona sieci – sprzęt typy Network Secure
4.Zaawansowana polityka bezpieczeństwa: IPS, Firewall, Dostęp do
plików i zasobów systemowych
BezpieczeństwoSystemów Teleinformatycznych
11
2
Dziękuję za uwagę
BezpieczeństwoSystemów Teleinformatycznych