QUALITY & SECURITY 2007 Praha – hotel Olšanka - 14.3 2007 Petr Zemánek – Senior Presales Consultant
IDS/IPS - ano či ne?
Být...
...či nepoužít IDS/IPS? 2
Agenda Co na nás útočí Různé druhy útoků
Jaké máme detekční mechanismy Jak se detekují jednotlivé druhy útoků
Jak se rozhodovat při nákupu Jak moc potřebuji IDS/IPS? Kolik do něj investovat ? Jaké koupit ?
3
Co na nás útočí aneb Internetová havěť
Kudy útoky přicházejí? Útok na vaši síť je nevyhnutelný, proto je dobré se připravit, pomocí poznání sama sebe ... Jsou dvě základní cesty, jak napadnout síť: Zneužití zranitelnosti Sociální inženýrství
Zranitelnosti mohou být dále napadány skrz: Softwarové chyby Chyby v konfiguraci Špatná implementace
5
Útoky jsou stále promyšlenější
Firemní síť
Script Kiddies
Známé útoky
Více… DoS útoky
IP Spoofing
6
Zdroj : Juniper Networks
Nedokumentované útoky
Backdoor útoky
TYP ÚTOKU
PŘÍKLAD
ÚROVEŇ ÚTOKU
Známý
Code Red
Síťová / Aplikační
No Pattern, Nové útoky
Buffer overflow
Síťová / Aplikační
Backdoor
Back Orifice
Aplikační
Reconnaissance
nmap
Síťová
Script Kiddies
Telnet root
Síťová / Aplikační
IP Spoofing
IP Spoofing
Síťová
DoS útok
Syn flood
Síťová
Zneužití konfigurace nebo implementace Útočník zneužívá zranitelnosti v systémech vytvořené během konfigurace nebo implementace k získání dat a případně získání kontroly nad zdrojem.
Chráněná síť
Internet Příklad: EXPN (rozšíření skupiny jmen nebo aliasů) muže být spuštěn v defaultu, nebo v chybném nasazení při konfiguraci SMTP serveru. To dává útočníkovi přístup k uživatelským informacím.
Útočník
Napadaný Mail server
Mail Okay CTL >expn root ÚTOK!!!
7
Zdroj : Juniper Networks
Zneužití známých zranitelností Útočník zneužívá známou zranitelnost k získání přístupu k serveru, změně dat, ukradení informací způsobení DoS atd. Příklad: Po ustanovení spojení umožní zranitelnost v programu Sendmail akceptovat příliš mnoho dat. Útočník může odeslat nadbytečná data aby přetekly serverovou vyrovnávací paměť za účelem získání root privilegií = útočník získá úplnou kontrolu 8
Zdroj : Juniper Networks
Chráněná síť
Internet
Napadaný Mail Server
Útočník Ustavení spojení Hello
Hello Chci odeslat poštu z:
[email protected] na:
[email protected] Odeslání dat
Server očekává méně než 256 bajtů dat
ÚTOK!!! Odesílá 516 bajtů dat Přebytek přeteče přes vyrovnávací paměť a útočník využije přetečený kód k převzetí serveru
Příjemce OK/pokračuj
Přetečení vyrovnávací paměti •
•
Útočník získá plný přístup k serveru pomocí spuštění vlastního kódu pod admin právy. Může existovat chyba v programu která nelimituje množství dat zapisovaných do bufferu umož. datům „přetéct“ a vystavit se zranitelnosti.
Příklad: Útočník zašle škodlivý kód s přístupovými daty aby přetekly buffer. Přetečení změní adresu kam jít až skončí současná procedura. Program skočí na škodlivý kód, umožňujíc tím útočníkovi spustit jeho příkazy. 9
Zdroj : Juniper Networks
Chráněná paměť počítače
Odskok na Správnou adresu
K bytů buffer
Odskok na adresu ve chvíli kdy funkce skončí
Zranitelná paměť počítače K bytů buffer Odskok na škodlivý kód
Adr. škod.o kódu na kterou se odskočí ve chvíli kdy fce skončí
Trojské koně Útočník použije sociálního inženýrství, nebo jiné prostředky k instalaci škodlivého programu na cílovou stanici. Například útočník může odeslat e-mail se spustitelným souborem, jako například zpívající narozeninové přání nic netušícímu uživateli. Útočník
Když uživatel spustí soubor, ten instaluje bez vědomí uživatele na pozadí škodlivý program.
Útočná aktivita
E-mailový trojan
“Trojan” stáhne backdoor
Útočník, potom využívá škodlivý program k získání kontroly nad napadenou stanicí. To mu umožňuje dělat si z poza firewallu co chce.
10
Zdroj : Juniper Networks
Útočník se napojí na backdoor, a server je kompromitován. Útočník má nad servrem plnou nadvládu
Pošt.klient
Průzkumné útoky Útočník se pokusí kontaktovat všechny potenciální zdroje v síti, aby zjistil, které jsou k dispozici a mohl později vyzkoušet útok na dostupné zdroje. Například, útočník může zkusit kontaktovat všechny porty na veřejném serveru (port scan) nebo kontaktovat všechny porty 80 (HTTP) na určitém rozsahu adres (network scan) Útočník
Scan otevřen
11
Zdroj : Juniper Networks
Průzkumné útoky Útočník se pokusí kontaktovat všechny potenciální zdroje v síti, aby zjistil, které jsou k dispozici a mohl později vyzkoušet útok na dostupné zdroje. Například, útočník může zkusit kontaktovat všechny porty na veřejném serveru (port scan) nebo kontaktovat všechny porty 80 (HTTP) na určitém rozsahu adres (network scan) Útočník
12
Zdroj : Juniper Networks
Jaké máme detekční algoritmy aneb odhmyzovače v akci
Zdroj : RAID specialista proti hmyzu
Firewall nestačí Většina organizací je připojena k Internetu a vlastní nějakou formu firewallu Většina podniků provozuje firewall samostatně a není schopna blokovat sofistikované útoky
Stále kratší 14
Zdroj : Juniper Networks
Pr č e vn í rv i
P zn rvn eu í ž it í
zr V an z n ite ik ln os ti zr Ozn an ám i te n ln í os ti
Životní cyklus zranitelností a hrozeb
Jak tedy můžeme tyto útoky detekovat? Žádný detekční algoritmus nemůže najít všechny druhy útoků Jak pracují současné detekční algoritmy a na jaké druhy útoků jsou vhodné: Paketové vs. stateful signatury Detekce protokolových anomálií Detekce „zadních vrátek (backdoor)“ Honeypot Protokolové anomálie Ostatní
15
Detekce neobvyklého provozu Metoda identifikace použití neobvyklého provozu Žádné protokolové anomálie, nebo specifické vzory útoků ale neobvyklý provoz / objem provozu Příklad: Ping Sweep Skenuje síť pro identifikaci potenciálních zdrojů budoucího útoku – průzkum Ping sweep z externího/podezřelého zdroje by měl být hlášen administrátorovi
16
Detekce protokolových anomálií Protokoly jsou definovány tak, aby bylo možné přesně popsat jejich „běžné“ použití “Zneužití” nebo netypické použití protokolu je na IPS detekováno Příklad: FTP Bounce Attack Prosím otevři FTP spojení
FTP Server
Prosím připoj se k x.x.x.B (neautorizovaný klient - útočník)
x.x.x.B není autorizovanou klientskou stanicí Možné zneužití FTP protokolu Požadavek zablokován!!!
17
Zdroj : Juniper Networks
FTP Client
x.x.x.A
x.x.x.B
Stateful Signatures Dívá se na útok v kontextu Zabrání slepému skenování veškerého provozu kvůli konkrétnímu řetězci Zvýšuje efektivitu Redukuje false-positive
Example: Code Red Worm Využívá k útoku HTTP GET request IDP zařízení pouze hledá tento požadavek a ne ostatní HTTP provoz
18
Zdroj : Juniper Networks
Detekce „zadních vrátek“ / trojanů Známý koncept „trojského koně“ Výzvou je identifikovat útok v případě, kdy je první linie obrany prolomena Heuristická metoda analýzy interaktivního provozu Příklad: Provoz pocházející od web serveru Webové servery typicky odpovídají na dotazy „pro informaci“, žádné spojení neinicializují „Podpis“ nakaženého serveru/uzlu
19
Různé detekční algoritmy musí : Detekovat více útoků
Snížit počet falešných alarmů
20
Zdroj : Juniper Networks
Mechanizmus
Typ
Příklad
Stateful Signatures
Well known
EXPN Root
Protocol Anomaly
Unknown, No Pattern
DNS Cache Poisoning
Backdoor Detection
Interactive
Woms/Trojans
Traffic Anomaly
Reconnaissance
Nmap
Network Honeypot
Script kiddies
Nmap
Spoof Detection
IP Spoofing
…
Layer2 Detection
ARP Attacks
…
Syn Flood Detection
Certain DoS attacks
…
IDS – je skutečně druhou vrstvou obrany?
Podniková síť
00000000000000000000000 0000 00000000000000000000000 0000 00000000000000000000000 0000 000000000000000000000000000
Detekované Falešné útoky poplachy
Nedetekované útoky
Zakázaný provoz Zakáže některé útoky 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 Povolený provoz 00000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 00000000000000000000000000000 000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
21
Firewall poskytuje kontrolu přístupu
Zdroj : Juniper Networks
IDS poskytuje Monitoring útoků
TCP Reset
Problém • Útok dosáhne cíle • Vždy vyžaduje prozkoumání úspěšného útoku • Pouze pro TCP spojení
22
Zdroj : Juniper Networks
Spolupráce s firewallem 1. IDS detekuje útok 2. Odešle zprávu firewallu aby zablokoval všechen budoucí provoz z dané IP adresy
Problém • Útok dosáhne cíle • Vždy vyžaduje prozkoumání důvodů útoku • Navrženo tak, aby blokoval IP adresu i do budoucna Jestliže útočník použije, nebo spoofuje např.dresu AOL, bude zahazován veškerý provoz z AOL 23
Zdroj : Juniper Networks
• Dělá systém zranitelný na DoS útok
Aktivní odezvy - IPS Aktivní, in-line systém detekuje útok a zahazuje škodlivý provoz během detekčního procesu
Výhody
Zahozeno
•Doplňuje firewall jako druhé vrstva bezpečnosti •Útok nikdy nedosáhne cíle •Netřeba ztrácet čas studiem útoku •Pracuje s jakýmkoliv provozem
24
Zdroj : Juniper Networks
Jak se rozhodovat při nákupu aneb jak být v bezpečí a neprodělat
Světový trh IPS Předpovědi ukazují na zaměření trhu směrem k IPS technologiím Worldwide Příjmy z IDS/IPS by měly dosáhnout kolem 800 miliónů dolarů za rok 2009 Network-based products continue to account for more than 2/3 of total revenue Celosvětové příjmy z IDS/IPS 900
790 752
800 700
603
667
544
600 500
Příjmy (Milióny USD) 400
819
384
427 Network-based
277
Host-based
300 200 100 0 CY01 CY02 CY03 CY04 CY05 CY06 CY07 CY08 CY09 Rok
26
Zdroj: Network Security Appliance and Software Quarterly Worldwide Market Share and Forecast for 1Q06
S křivka optimální výše investic
Míra bezpečnosti
Vysoká
Optimální výše investovaných prostředků
Podceňování bezpečnostních rizik
Investice bez výrazného růstu bezpečnosti
Nízká Nízké
27
Investice do bezpečnosti
Vysoké
Jak tedy vybírat? Zvážit riziko/cena Potřebuji plnohodnotné IDS/IPS? Nástavby nad firewall
Zvážit použití Volba IDS x IPS Klientská x aplikační x síťová
Zajistit obsluhu Každý systém je dobrý jen tak, jako ten který ho spravuje
Zvážit výrobce Každé řešení má své výhody Interoperabilita s dalšími komponenty
a další … 28
Nepoužívejte IPS ...
... podělte se o svůj počítač se zvířátky 29
Děkuji za pozornost
[email protected]
váš bezpečnostní partner
