Bakalářská práce Možnosti použití programu pro detekci průniků BlackICE
Martin Zedníček, jarní semestr 2001
Úvod Zadání projektu Zaměření produktu
Analýza produktu Složení produktu Jak to funguje
Praxe a srovnání s obdobnými produkty Co na to profesionálové Výsledky a zkušenosti z vlastního testování
Závěr Zhodnocení Doporučené oblasti nasazení
Dodatek Testy Použité zdroje Copyrights
v Úvod Zadání projektu „Zadáním projektu je seznámit se s produktem pro detekci průniků BlackIce od společnosti Network Ice Corp., popsat jeho funkce a zhodnotit možný přínos pro zvýšení bezpečnosti. Produkt je již zkušebně provozován na ÚVT MU.“
Zaměření produktu V dnešní době, kdy proti sobě na Síti stojí bezpečnostní administrátoři a hackeři, proti každému antivirovému vyhledávači se objeví nový trojský kůň a podniky musí utrácet peníze za firewally, které okolo privátní sítě vytváří silné opevnění, stejně se zde dokáže najít skulinka, kudy dokáže nepřítel proniknout. Najdeme ji u externích pracovníků, kteří pracují mimo firemní prostory a zabezpečené systémy, leckdy bývají staticky připojeni i několik dní v kuse, aniž by využívali zabezpečení běžné na VPN (Virtuálních Privátních Sítích), nebo je skryta v noteboocích zaměstnanců, kteří si nehledí bezpečnosti tak, jak by si to přáli administrátoři. Vyjímkou nejsou ani útoky insiderů, kteří mají přístup k prakticky nechráněným počítačům a dostanou se k citlivým informacím. Zevnitř lze také spustit jednoduché DoS (Denial of Service) útoky na důležité servery. Zde je nebezpečí ještě větší, poněvadž insideři jsou již uvnitř - tedy za firewallem. Proto vznikly centrálně spravované osobní firewally, pomáhající udržet LAN i jednotlivé počítače v bezpečí. Jedním z nich je právě program pro detekci průniků BlackICE od společnosti Network Ice Corp. Neměli bychom ho chápat jako čistý firewall, poněvadž právě schopnost zabránit výše uvedeným problémům, se kterými si klasický firewall orientovaný především jako ochranná hráz proti vnějšímu světu nedokáže poradit, ho vyčleňuje ze skupiny klasických firewallů. Avšak může být tak chápán a zpravidla je takto označován.
v Analýza produktu
Složení produktu Celek se skládá z několika samostatných programů, které jsou však se sebou různě provázány, doplňují se a měly by tvořit stěží proniknutelnou hráz proti útočníkům.
BlackICE Agent Workstation – určený pro instalaci na všech stanicích ve vaší síti. Dává každému počítači možnost detekovat a blokovat hackery lokálně, zatím co podává zprávu ICEcap serveru k rozsáhlé bezpečnostní analýze.
BlackICE Agent Server – doporučený pro instalaci na webové, souborové a databázové servery. Zprostředkovává detekci průniků a ochranný mechanismus optimalizovaný pro systémy zpřístupněné mnoha různým uživatelům. Navíc ke zmiňovaným reportům útoků pro ICEcap přidává zprávu o stavu TCP a UDP portů a místním systému.
BlackICE Sentry – umožňuje real-time odposlech pro detekci průniků pro celou síť. Je ideální pro doložení útoků a monitoring nechráněných zařízení, jako jsou třeba tiskové servery. Jeho výkonný mechanismus dekódování paketů umožňuje detekovat útoky také při plně zatížené 100Mbps síti.
BlackICE Guard – je vhodný pro oblasti sítě, které jsou obzvláště v ohrožení. Funguje jako „hacker filter“. Komunikace od hackerů jsou identifikovány, reportovány ICEcapu, a pokud je to nutné, tak zablokovány.
ICEcap – hlavní častí celého produktu. Shromažďuje data o průnicích a provozu ze všech instalací na vaší síti. Data jsou shromažďována pro hloubkovou analýzu bezpečnosti sítě. Může také distribuovat BlackICE software a řídit veškeré zabezpečení a nastavení agentů a jednotlivých složek. InstallPac – plně zpřístupňuje instalační, odinstalační a upgradovací možnosti starající se o různé metody distribuce BlackICE agentů.
Jak to funguje Prakticky to funguje takto – na každý klientský počítač nainstalujeme BlackICE agenta. Tito agenti pak provádějí funkce firewallu a odesílají stavové reporty. Zároveň back-end server udržuje databázi pokusů o vniknutí a distribuuje nové soubory bezpečnostní politiky. Řídící server ICEpac pak také vytváří skupiny a informační výstupy na základě IP adres. V reportovací výbavě lze každé události v každé skupině přiřadit určitou prioritu. Alarm se spustí, jakmile nastane událost překračující stanovenou mez. Můžete například skenování portů přiřadit vyšší prioritu na serverech, ale nižší na laptopech. Když alarm skončí, zůstane zobrazeno IP nebo NetBIOS jméno útočníka a příčina alarmu. Software se dokonce pokusí zjistit DNS jméno hackera pro všechny útoky krom DoS, které mívají falešné hlavičky IP. Rozhraní řídícího softwaru je webový prohlížeč. Informační výstup můžete třídit podle hostitele útočníka nebo oběti; podle priority nebo druhu útoku, času a skupiny. Pokud klepnete na jméno hostitele útočníka, zobrazí se všechny jeho útoky zaznamenané ve vaší databázi. Jasně je zobrazena příčina alarmu a klepnutím na tento popis získáte podrobnější informace o dotyčném druhu útoku. Produkt je také vybaven užitečným „tlumičem“ událostí, který vám umožňuje nastavit maximální dobu mezi událostmi, do jejíhož překročení mají být považovány za jedinou událost. Takže pokud například po jednom pingu za dvě minuty následuje další, software je může považovat za jedinou událost. Tato vlastnost se hodí, pokud máte co do činění s opakovanými útoky. Odesílání událostí z klientů probíhá v reálném čase, stejně jako reportování na řídící stanici. Je možné nastavit reakci na událost , buď pagerem, emailem nebo síťovým broadcastem. Schéma zabezpečení produktem
BlackIce:
Zde je stručný náhled na architekturu BlackIce:
Co na to profesionálové Test BlackICE Sentry od MIER Communications Inc. Byly zde testovány mimo BlackICE Sentry produkty Axent´s NetPowler a ISS RealSecure Network Sensor. Hlavní úkolem testu bylo vyzkoušet detekci a schopnost reportu útoků, či pochybné aktivity proti hostiteli daného zabezpečovacího systému. Testy byly zaměřeny na posouzení, jak efektivně každý z produktů zastává svou funkci a také, jak se každý vyrovnává s typickým stresovým zatížením v reálném světě vysokorychlostních sítí. BlackICE Sentry předčil RealSecure a NetProwler produkty ve všech dílčích testech a ukázal se být spolehlivým systémem po celou dobu testování. Test BlackICE Agent od MIER Communications Inc. Středem pozornosti tentokráte byla míra vlivu na výkon běžícího Web-serveru s nainstalovaným BlackICE Agentem. Způsob a metodu, na které jsou testy založeny, vyvinul MierComms. Výsledkem bylo rozhodnutí, že běžící BlackICE Agent nemá žádný vliv na schopnost webového serveru zpracovávat HTTP přístupy a TCP spojení. Nad to byl Webserver po dobu nainstalování BlackICE Agenta chráněn před přetížením CPU. Testy ukázaly, že BlackICE Agent má nepatrný vliv na výkon serverů. Poněvadž zde se jedná o velice profesionální, důkladné a precizní testovámí, vykorespondoval jsem si povolení od MIER Communications jej zde použít jako přílohu. Podrobný výpis najdete v Dodatku v části Testy.
Test časopisu Network Computing Testovaly a srovnávaly se 4 podobné produkty od firem F-Secure Corp., InfoExpress, Sybergen Networks a samozřejmě NetworkICE Corp.. Krátké shrnutí výsledků testu: „Nejširší řídící schopnosti mají firewally firem InfoExpress a F-Secure, tyto programy umožňují nejsnáze modifikovat pravidla a omezení určitých uživatelů. Balík firmy NetworkICE odvádí nejlepší práci při informování o útocích a firewall Sybergen poskytuje největší flexibilitu při nastavování kontroly klientů. Samotné osobní firewally pro ochranu nestačí – podařilo se skrz ně dostat dovnitř trojského koně. Dostat trojského koně na něčí počítač není nic těžkého, stačí e-mailem poslat nějakou „ptákovinku“ pro zasmátí nebo se subjektem „I love you“. Z diskety lze trojského koně nahrát během polední pauzy či po práci za 20 vteřin. Kolik zaměstnanců ve většině firem zamkne svou stanici při odchodu do jídelny? A ve všech testech i s jediným otevřeným portem se nám podařilo ovládnout počítač pomocí Back Orifice.“ Takže je doporučení tyto produkty užívat zároveň s účinnými bezpečnostními opatřeními a antivirovým softwarem. K produktu BlackICE konkrétně: „Největší pochvalu si klient zaslouží za skvělou schopnost detekovat trojské koně i jiné druhy útoků na uzavřených i otevřených portech. Přitom ICEcap manager má nejlepší reportovací funkce ze všech testovaných produktů. Tento databázový program na centrální správu umí spolupracovat s databázemi Microsoft SQL Workstation 6.5, SQL Server 7.0 nebo Access 97. Jasná obrazovka programu ICEcap poskytuje spoustu informací o různých druzích útoků. Avšak zbytek jeho uživatelského rozhraní je obtížnější na používání. Řídící server vytváří skupiny a informační výstupy na základě IP adres, takže se víc hodí do prostředí uzavřené podnikové sítě“.
Test serveru Security Portal Kriteria testu: efektivita bezpečnostní ochrany (průniky, trojští koně, controlling leaks, Denial-of-service) a detekce pronikání (malé množství falešných poplachů, varování před nebezpečnými). Jak se testovalo: a) Silný, velmi známí „remote control“ trojský kůň (Netbus Pro v2.1) byl nainstalován v systému na nestandartním portu (k stížení detekce). b) Byl použit Nmap scan k zkoumání zda příslušné porty byly opravdu úspěšně uzavřeny. S nenainstalovaným firewallem testovací PC (Win2k sp1) posuzované Nmap (nmap -sT -P0 -O IP_ADDR) ukazovalo:
Port State Protocol Service 7/tcp open echo 9/tcp open discard 13/tcp open daytime 17/tcp open qotd 19/tcp open chargen 23/tcp open telnet 135/tcp open loc-srv 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1025/tcp open listen
Výsledky: a. The Netbus server BlackICE neupozornil, že server byl spuštěn, ale nebylo možno navázat vzdálené spojení (bylo hlášeno 'TCP port probe'). b. nmap scan BlackICE upozorňoval na Nmap scans blikajíci červenou ikonou, byly hlášeny "TCP Port scan", "TCP port probe", "NMAP OS Fingerprint", "TCP Ace ping", "TCP OS Fingerprint" a "UDP Port Probe", a společně s dalšími, což je velmi dobré. Nmap vracel velký seznam neproniknutelných portů, port 113 a některé porty mezi 1024 a 65031. Stejně tak Nmap nebyl schopen zjistit o jaký OS se jedna.
Závěr serveru Security Portal: Celkově během užívání Internetu byl subjekt podroben útokům PCAnywhere, BackOrifice a několika TCP port scanům (všechny identifikované BlackICE). A byl serverem Security Portal shledán jako užitečná pomůcka pro zvýšení vědomí uživatele o nebezpečí číhajícím na něj na Internetu.
Výsledky a zkušenosti z vlastního testování Testovaná verze 2.5ch Na začátek jeden podle mě důležitý postřeh – je užitečné zakázat uživatelům úpravy jejich nastavení a nejlépe jim produkt úplně skrýt. Čím méně uživatel o firewallu ví, tím menší bude jeho pokušení zkusit ho obejít. BlackICE se sice zobrazuje na seznamu úloh, za to však umožňuje úplně odstranit GUI z klientských počítačů. Vlastní testy jsem prováděl dvojího druhu. Jednak nainstalováním BlackICE Agenta a užívání po dobu jednoho měsíce na stroji připojovaném dial-up k síti internet. A za druhé několik testů na malé lokální síti skládající se z 12 počítačů (z toho 9 se systémy Win98SE/WinNT/Win2000 a 3 se systémem Red Hat Linux 7.0 ) a s kapacitou 100MB/s. Testování komutovaným připojením pak probíhalo takto: Normální provoz na síti internet s navštěvováním rizikových serverů, jenž mají snahu zjistit co nejvíce informací o vašem počítači. Zde BlackICE Agent byl užitečným pomocníkem zaznamenávající každý pokus, těchto nekalých praktik. Vše bylo hlášeno a zaznamenáno. Podotýkám, že práh citlivosti alarmu je nastavitelný a můžete si vybrat, co vám má agent hlásit a co stačí jen zaprotokolovat do log souboru pro případ pozdější potřeby. Otestováním několika servery, jenž vám nabízí otestování otevřenosti a přístupnosti vašeho počítače vůči náhodným útokům při surfování. Použil jsem služeb serverů http://www.hackerwhacker.com/ a Shields UP! . Po zaregistrování vám nabízí otestování některých nejběžnějších portů, jejich přístupnost zvenčí, zabezpečení a zneužitelnost. Oba testy dopadly vlastně shodně, BlackICE krom toho, že zaznamenal pokusy o vniknutí, sám automaticky zamezil útočníkovi přístup. Tím zamezil potencionálnímu útočníku nejen v možném průniku, ale i třeba jen v zjištění pro něj užitečné informace, jaký systém na počítači běží, podle které by mohl podniknout další kroky.
Ukázka výpisu po testování serverem Shields UP!:
A hlášení serveru Shields Up! najdete v části Testy.
Zde pak po prověřování serverem hackerwhacker, hlášení naleznete též v příloze Testy.
Testování na síti LAN: Tento test probíhal na lokální síti, která je sice připojena na internet, ale bohužel, v době kdy jsem měl možnost testování provádět, byla z technických důvodů odpojena. Zkoušelo se simulováním útoků ze sousedních počítačů (programem Back Orifice ze systémů Windows a programem Nmap pro Linux) a pak úspěšnost i při plném vytížení sítě. Pokusil jsem se zhodnotit i centrální spravování a aktualizační schopnosti ICEcap manageru. Jako administrativní počítač jsem použil AMD Duron 700 MHz s 192MB RAM a operačním systémem Windows 2000 SP 1. Čtyři klientské počítače byly osazeny Celerony 400 MHz a 128MB operační paměti, běžel na nich systém WinNT a Win98SE. Útočící stroje pak byly postaveny na stejném HW jako klientské počítače s tím, že na jednom běžel systém Win98 a na druhém Linux Ret Hat 7.0. Zbylé počítače obstarávaly simulaci běžného provozu na síti LAN. Program Back Orifice 1.2, který jsem použil na rozdíl od verze 2000 nenavazuje přímé spojení(na provedení příkazu odešle pouze jeden UDP(User Datagram Protokol) paket a dostane zpátky příslušnou odezvu) a proto je hůře zachytitelný. Program Nmap pro linuxovou platformu umí prozkoumávat sítě, provádět TCP, UDP a TCP SYN skenování. Podle „fingerprints“ v TCP/IP také umí rozpoznat druh běžícího operačního systému.
Ačkoliv Network ICE vychvaluje schopnosti BlackICE při detekci vniknutí, proti útokům Back Orifice není tak nezdolatelný. Od začátku útoku trvalo 1-5 sekund, než BlackIce zareagoval – dost času na shození firewallu(zadat příkaz pro reboot počítače je záležitost chvilky a žádný poplach to nezpůsobilo). Ovšem pokud vám to trvalo déle, dokázal BlackICE rozpoznat útoky Back Orifice na jakémkoliv otevřeném portu. Detekce tedy není 100% spolehlivá, aby vás úplně ochranila. Software by byl na tom také lépe, pokud by podporoval ICMP blokování nebo kontrolu aplikací. Hackerským nástrojem Nmap se pak podařilo zjistit jaký operační systém na cílové stanici běží. Aktualizační schopnosti ICEcap Manageru jsou dobré – aktualizace probíhá automaticky, kdykoliv administrátor provede změnu. Navíc se periodicky kontrolují klienti. To ovšem znamená, že rozsáhlé instalace mohou generovat dost velký provoz. Možná by bylo lepší, kdyby program čekal, dokud administrátor nespustí update sám. Určení vhodné konfigurace back-end serveru je poněkud choulostivé. Jestliže má každý log soubor 40kB a každou hodinu třeba 5000 lidí, váš server a síť musí umět zvládnout minimálně 200MB za hodinu. A nesmíte zapomenout, že aktualizace softwaru mohou mít objem i několika megabajtů a pokud si jej budou stahovat stovky zaměstnanců najednou (jako v tomto případě), dá to serveru pořádně zabrat. Příslušnost počítače do skupin určuje ICEcap podle IP adresy a vygenerovaných ID čísel (na rozdíl od svých starších verzí, co tuto schopnost neměly). Není proto problém, pokud potřebujeme přesunout počítač z jedné řady adres do jiné, aniž by si takový počítač stahoval úplně jiné soubory politiky, než bychom čekali.
v Závěr Kdy potřebujete personální firewall: Potřebujete míti data na vašem počítači dálkově přístupná skrze internet. Provozujete jakýkoliv druh internetového serveru, třeba Personal Web Server. Užíváte skrze internet na dálkovou správu počítače program jako Laplink, or Wingate.
PC Anywhere,
Chcete náležitě a bezpečně monitorovat vaše internetové připojení proti pokusům o vniknutí. Chcete se preventivně ochránit před nebezpečím "uvnitř hradeb" - Trojské koně, rogramy jako NetBus nebo Back Orifice.
Zhodnocení Mezi vynikající přednosti tohoto produktu patří jeho reportovací výbava. Poskytuje jasné informace o útocích a jejich zdrojích. Přiřazení priority různým útokům je velmi užitečná věc, lze tak odfiltrovat neškodné útoky jako scanování portů, a správce se pak může věnovat vážnějším rizikům jako je třeba trojský kůň. Od hranice několika desítek spravovaných stanic je to k nezaplacení. Výborná je možnost centrálně a na dálku spravovat klientský software. Konfigurace pak nabízí velmi mnoho nastavení. Bohužel ovládání nepatří mezi jednoduché. Vlastní přizpůsobený balíček instalace klienta je možné zkomprimovat cca na 2.5 MB(2x1.44MB diskety), tedy velmi dobrá distribuovatelnost. Instalace nevyžaduje restart. Na pracovní stanici mohou běžet i non-IP protokoly. Podporované platformy jsou rodina MS Windows od třídy 95 výše. Nyní je nově k dispozici i varianta pro Sun Microsystem, avšak chybí zde platforma Linux. Dále za nevýhodu bych považoval také především absenci ICMP(Internet Control Message Protocol) blokování nebo kontroly aplikací, produkt provádí pouze firewall příchozích událostí, nikoliv přístup aplikací k síti.
Vhodné podmínky a doporučené oblasti užití Produkt je opravdu nanejvýše vhodné užívat dohromady s nějakým antivirovým programem. Hodí se jak pro domácí použití(samostatný BlackICE Agent), tak především do oblasti podnikových, školních a jiných LAN napojených na internet, kam je ostatně převážně jako celek určen.
Avšak srovnáme-li ho s programem ZoneAlarm, který používám já osobně, pak na domácí užití se hodí spíše právě ZoneAlarm. Naopak do míst, kde je třeba se starat o více počítačů, je to právě BlackICE se svou dobře vypracovanou centrální politikou vypořádávající se skvělě s plně vytíženými sítěmi, který bych doporučil. A to nejen na základě vlastních zkušeností, ale též především podle názorů odborníků, kteří program testovaly a mohli ho porovnat s produkty stejného typu.
v Dodatek Testy
MierTestICEsentry.pdf
MierTestICEagent.pdf
Shields UP! -- Port Probe.htm
HACKER WHACKER results.htm
Na tomto místě budou vytištěny tyto soubory.
Použité zdroje Network ICE web site
http://www.networkice.com/
MIER Communications Inc.
http://www.mier.com/
Security Portal
http://www.securityportal.com/
Network Computing
http://www.networkcomputing.cz/
CNN Sci-Tech
http://www.cnn.com/2001/TECH/
Shields Up! Hacker Whacker
http://www.hackerwhacker.com/
Copyrights BlackICE™, ICEcap™, ICEpac™, InstallPac™, InstallNet™, Network ICE™, and the Network ICE logo are all trademarks of the Network ICE Corporation. Windows® and Microsoft® are registered trademarks, and Windows NT™, Windows 2000™, Windows 98™, Windows 95™, and Internet Explorer™ are all trademarks of the Microsoft Corporation. Copyright © 2000 MIER Communications Inc. Intrusion-Detection Systems.
All other products mentioned in this manual are the trademarks or registered trademarks of their respective owners.
