IDS systémy a honeypoty
Jan Mach CESNET, z. s. p. o.
CESNET (1) ●
http://www.cesnet.cz/
●
Založen v roce 1996
●
Sdružení, 25 českých univerzit a Akademie věd
●
Hlavní cíle: –
Provoz a rozvoj páteřní akademické počítačové sítě České republiky - CESNET2
–
Podpora vědy a výzkumu v oblasti pokročilých síťových technologií a aplikací
–
Podpora a šíření vzdělanosti, kultury a poznání
21. 10. 2011
IDS systémy a honeypoty
2
CESNET (2) ●
●
2004 – 2010: Výzkumný záměr “Optická síť národního výzkumu a její nové aplikace” 2011 – 2015: Projekt “Velká Infrastruktura”, zaměřen na vývoj v následujících oblastech: –
Sítě
–
Programovatelný HW
–
Sledování provozu sítí
–
Bezpečnost (AAI, PKI, CSIRT)
–
Datová úložiště
–
Gridy
–
Multimédia
21. 10. 2011
IDS systémy a honeypoty
3
CESNET-CERTS ●
●
http://csirt.cesnet.cz/,
[email protected] CSIRT (Computer Security Incident Response Team)
●
Ustanoven v roce 2003
●
Základní služby: –
Řešení a koordinace řešení bezpečnostních incidentů v síti CESNET2
–
Rozvoj a provoz IDS a Audit systém
–
Organizace seminářů a školení pro uživatele a administrátory CESNET2
21. 10. 2011
IDS systémy a honeypoty
4
IDS systémy a honeypoty
Konečně začínáme
21. 10. 2011
IDS systémy a honeypoty
5
Obsah ●
●
Co jsou to IDS systémy a honeypoty? –
LaBrea
–
Kippo
SIEM systémy –
Prelude
21. 10. 2011
IDS systémy a honeypoty
6
IDS Intrusion Detection System = Systém pro detekci průniků
●
–Přesněji
– pro detekci útoků (útok ≠ průnik)
–Monitorování
a vyhodnocování aktivit systému a/nebo
sítě
21. 10. 2011
IDS systémy a honeypoty
7
IDS - Přehled
●
Aktivní IDS = I(D)PS (Intrusion Prevention System) –
přerušení spojení, automatická rekonfigurace firewallu, změna obsahu paketu, …
●
Detekce pomocí signatur – nutno vědět, co hledáme
●
Detekce anomálií – co je normální stav? heuristiky, neuronové sítě, matem. modely IDS systémy a honeypoty
21. 10.–2011
8
NIDS (network) Sledování síťového provozu, detekce (síťová vrstva)
●
–Scan,
sweep
–(D)DOS –Pokusy
o přetečení zásobníku, injekci shellkódu
–Jiné
detekce anomálií, např. na základě statistik provozu
●
Typické
–Snort,
Bro
Cca stovky Mb/s, na rychlejší sítě třeba HW podpora (Několik 21. 10. 2011 projektů v rámci CESNETu.) IDS systémy a honeypoty ●
9
HIDS (host-based) Na sledovaném systému běží nějaký AGENT, který monitoruje aktivity a stav systému ●
Kontrola logů
●
–Swatch,
Logcheck, Logwatch, Prelude LML, ...
Kontrola integrity souborového systému
●
–Samhain,
Tripwire, Aide, Integrit, ...
Hledání rootkitů
●
–chkrootkit,
rkhunter, ...
Detekce anomálií
●
–Promiskuitní –Samhain, 21. 10. 2011
mód, skryté procesy, zátěž procesoru, otevřené porty
... IDS systémy a honeypoty
10
Honeypoty ●
Monitorovaný systém
●
Past, návnada pro útočníky
●
Využití:
●
–
Detekce útoků a trendů útoků
–
Informace o způsobech průniků do systému
–
Hledání nových slabých míst aplikací
–
Informace o technikách a nástrojích útočníků, maskování průniků v napadeném systému
–
Sběr vzorků mallware, spamu, phishingu
Low Interaction / High Interaction
21. 10. 2011
IDS systémy a honeypoty
11
LaBrea (1) ●
http://labrea.sourceforge.net/
●
tarpit, sticky honeypot (low interaction)
●
Monitoruje nějaký nepoužívaný rozsah IP adres
●
Vytváří „virtuální stroje“, které umí: –
Odpovědět na PING
–
Dokončit TCP handshake a navázat spojení
–
Na SYN/ACK odpovídají paketem RST
Na nepoužívané IP adresy by neměla jít žádná legitimní komunikace = prakticky žádná falešná pozitiva 21. 10. 2011 IDS systémy a honeypoty 12 ●
LaBrea (2) ●
●
●
Na příchozí TCP spojení odpovídá následujícím způsobem: –
TARPITTING – naváže spojení a všechno další ignoruje
–
CONNECTION TRAPPING – naváže spojení a požaduje velmi malé TCP okno (CESNET)
–
DDoS HANDLING – na SYN/ACK odpovídá RST
Útočníci většinou používají automatické skenery Pokusy o spojení jsou logovány
21. 10. 2011
IDS systémy a honeypoty
13
LaBrea (3) ●
Ukázka logu LaBrey:
●
1289563442 Initial Connect - tarpitting: 178.92.241.145 3875 -> aaa.bbb.ccc.ddd 445
●
1289563442 Initial Connect - tarpitting: 78.191.24.207 3588 -> aaa.bbb.ccc.ddd 445 *
●
1289563442 Initial Connect - tarpitting: 78.63.66.175 3238 -> aaa.bbb.ccc.ddd 445 *
●
1289563442 Initial Connect - tarpitting: 78.63.66.175 3244 -> aaa.bbb.ccc.ddd 445 *
●
1289563442 Initial Connect - tarpitting: 79.120.203.213 50860 -> aaa.bbb.ccc.ddd 445
●
1289563442 Initial Connect - tarpitting: 81.213.142.111 1431 -> aaa.bbb.ccc.ddd 4899
●
1289563442 Initial Connect - tarpitting: 97.78.229.153 3702 -> aaa.bbb.ccc.ddd 445 *
●
1289563442 Responded to a Ping: 81.213.142.111 -> aaa.bbb.ccc.ddd
●
1289563442 Responded to a Ping: 81.213.142.111 -> aaa.bbb.ccc.ddd
●
1289563443 Inbound SYN/ACK: 174.36.55.66 7711 -> aaa.bbb.ccc.ddd 3072
●
1289563443 Initial Connect - tarpitting: 174.96.169.242 49584 -> aaa.bbb.ccc.ddd 36446
●
1289563443 Initial Connect - tarpitting: 187.74.68.202 1524 -> aaa.bbb.ccc.ddd 445 *
21. 10. 2011
IDS systémy a honeypoty
14
CESNET IDS (1) ●
Pavel Vachekhttp://www.cesnet.cz/doc/techzpravy/2007/ces net-ids/
●
●
●
●
LaBrea monitoruje dva /22 bloky = 2 x 1022 IP Několik spolupracujících Perlovských skriptů periodicky analyzuje logy LaBrey Incidenty z rozsahu Cesnetu (AS 2852) jsou automaticky posílány odpovědným správcům Ostatní incidenty jsou hlášeny na DSHIELD http://www.dshield.org/
21. 10. 2011
IDS systémy a honeypoty
15
CESNET IDS (2) ●
Statistiky - Ping
21. 10. 2011
IDS systémy a honeypoty
16
CESNET IDS (3) ●
Statistiky - DDOS
21. 10. 2011
IDS systémy a honeypoty
17
CESNET IDS (4) ●
Statistiky z provozu pro AS Cesnetu –
57 x odesláno hlášení do podsítí
–
Detekovány útoky ze 63 IP adres (45 unikátních)
–
46 444 pokusů o připojení k virtuálním strojům
21. 10. 2011
IDS systémy a honeypoty
18
Kippo (1) ●
http://code.google.com/p/kippo/
●
SSH honeypot (low interaction)
●
●
●
SSH útoky jsou velmi častým typem útoku = nasazení SSH honeypotu může být velkým přínosem Vlastnosti: –
Falešný filesystém s možností manipulovat se soubory
–
Záznam celého útočníkova sezení
–
Uchovávání souborů stažených pomocí wget
–
Exit neukončí session, ssh předstírá…
http://iwatchedyourhack.org/
21. 10. 2011
IDS systémy a honeypoty
19
Kippo (2) ●
Možnosti využití: –
Automatické generování firewalových pravidel
–
Generování toplistu hesel
–
Sbírání vzorků malware
–
Edukativní účely
21. 10. 2011
●
Nástroje útočníků
●
Postupy útočníků po kompromitaci systému
IDS systémy a honeypoty
20
Kippo (3) ●
Statistiky za 3 týdny testovacího provozu
21. 10. 2011
IDS systémy a honeypoty
21
SIEM ●
●
●
●
Security Information and Event Management systém Nástroj pro centralizaci sběru a zpracování informací generovaných IDS a jinými systémy Užitečné pro správce: –
Jednotné uživatelské rozhraní (většinou i GUI)
–
Většinou nativně umí Syslog a SNMP protokoly
–
Agregace, thresholding, korelace zpráv/událostí
–
Automatická upozornění a akce
–
Statistické přehledy, ...
Prelude, OSSEC, OSSIM
21. 10. 2011
IDS systémy a honeypoty
22
Prelude (1) ●
www.preludetechnologies.com/en/welcome/index.html
●
IDS a SIEM
●
Datový model IDMEF (RFC 4765)
●
Komponenty: –
Manager
–
LML
–
Correlator
–
Prewikka
Nativní podpora: IDS systémy a honeypoty
● 10. 2011 21.
23
Prelude (2) ●
Prelude LML (Log Monitoring Lackey)
Obrázek nelze zobrazit. V počítači prav děpodobně není k dispozici dostatek paměti pro otev ření obrázk u nebo by l obrázek pošk ozen. Restartujte počítač a otev řete příslušný soubor znov u. Pok ud se opět zobrazí červ ený k řížek , bude nutné obrázek odstranit a vložit jej znov u.
21. 10. 2011
IDS systémy a honeypoty
24
Prelude (3)
21. 10. 2011
IDS systémy a honeypoty
25
Závěr ●
●
●
●
Nasazení nějakého IDS systému se pomalu stává poviností Nejsou potřeba žádné komplikované, nebo komerční systémy Jednoduchý IDS systém lze vytvořit nasazením honeypotu a jeho analýzou Vyplatí se používat nějaký systém typu SIEM pro zpracování informací z více IDS
21. 10. 2011
IDS systémy a honeypoty
26
http://www.rootkit.nl/projects/rootkit_hunt er.html
Odkazy Kippo
http://code.google.com/p/kippo/ Technické zprávy Cesnetu http://www.cesnet.cz/doc/techzpravy/ Kojoney Snort http://www.snort.org/ http://kojoney.sourceforge.net/ Bro http://www.bro-ids.org/ Nepenthes LaBrea http://labrea.sourceforge.net/ http://nepenthes.carnivore.it/ Logcheck http://logcheck.org/ Dionaea Swatch http://dionaea.carnivore.it/ http://swatch.sourceforge.net/ Logwatch http://sourceforge.net/projects/logwatch/f OSSEC iles/ http://www.ossec.net/ Samhain http://www.la-samhna.de/samhain/ OSSIM Tripwire http://sourceforge.net/projects/tripwire/ http://www.alienvault.com/community Aide http://www.cs.tut.fi/~rammer/aide.html Prelude Integrit http://www.preludehttp://integrit.sourceforge.net/texinfo/inte ids.com/en/welcome/index.html grit.html Osiris Monit http://osiris.shmoo.com/ 21. 10. 2011
http://mmonit.com/monit/ IDS systémy a honeypoty Aanval
27
Děkuji za pozornost.
Dotazy ???
21. 10. 2011
IDS systémy a honeypoty
28
Obcházení IDS Řetězcová manipulace (kódování, perl, úpravy cest)
●
–GET
/etc/./passwd
–GET
%65%74%63/%70%61%73%73%77%64
●
Polymorfní shellkód
●
Session splicing (dělení do krátkých packetů)
– ●
G
E T GET /index.html
/
e
t
c
Fragmentace (překryv/přepis, pořadí) /etc/passwd (D)DOS
21. 10. 2011 ●
IDS systémy a honeypoty
29
Nasazení ●
Záleží na požadavcích a možnostech
–Objem
sledovaného provozu
–Datový
obsah
–Sledování –Směr
na perimetru / uvnitř
provozu
–Online
/ post-mortem
–Lidské
sledování + informovaná reakce / automatika –Specifické
21. 10. 2011
situace (LIR) IDS systémy a honeypoty
30
Další dělení ●
(A)PIDS – analýza aplikačního protokolu
●
Hybridní systémy
–Prelude –IDMEF
– Intrusion Detection Message Exchange
Format ●
Expertní systémy
–Predikce
událostí na základě naučených vzorů
–Neuronové ●
sítě
Pasivní / Reaktivní
–Riziko
21. 10. 2011
DOS
IDS systémy a honeypoty
31
