IPS systému na bázi open source a komerčních technologií

Mendelova univerzita v Brně Provozně ekonomická fakulta

Integrace IDS/IPS systému na bázi open source a komerčních technologií Bakalářská práce

Vedoucí práce: Ing. Martin Pokorný, Ph.D.

Jan Kejda

V Brně 2010

Děkuji Martinu Pokornému za vedení, podporu a cenné rady při tvorbě této práce. Dále bych chtěl poděkovat mému kolegovi Milanu Fillovi, který se mnou vytvářel modelovou počítačovou síť.

Prohlašuji, že jsem tuto bakalářskou práci vytvořil samostatně dle pokynů vedoucího práce a za použití zdrojů, které jsou uvedeny v závěru práce.

V Brně dne 25.5.2010

....................................................

4

Abstract Integration of IDS/IPS system based on open-source and proprietary technologies. This Bachelor thesis concerns with assembling a company network with IDS/IPS security elements. Its main part describes and focuses on solving IDS/IPS technologies and their integration as security elements of a security sytem with a using open-source and proprietary solutions. This thesis shows possibilities, advantages and disadvantages of these solutions from both technical and economical point of view. Key words IDS, IPS, Cisco, Snort, ASA

Abstrakt Integrace IDS/IPS systému na bázi open source a komerčních technologií. Bakalářská práce se zabývá vybudováním firemní sítě s IDS/IPS bezpečnostními prvky. Hlavní část práce řeší a popisuje technologie IDS/IPS a jejich integraci jako prvků bezpečnostního systému pomocí komerčních a open-source řešení. Tato práce poukazuje na možnosti, výhody a nevýhody těchto řešení, jak z hlediska technického tak ekonomického. Klíčová slova IDS, IPS, Cisco, Snort, ASA

5

OBSAH

Obsah 1 Úvod a cíl práce 1.1 Úvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Cíl práce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Analýza sítě 2.1 Požadavky na firemní síť . . 2.2 Metodika návrhu topologie . 2.3 Analýza IT infrastruktury . Skupiny uživatelů . . . . . . Uživatelské požadavky . . . Služby . . . . . . . . . . . . 2.4 Návrh topologie . . . . . . . 2.5 Použitý hardware . . . . . . Síťové prvky . . . . . . . . . Servery a klientské počítače 2.6 Použité operační systémy . . 2.7 Přístup ke službám . . . . . „MANAGEMENTÿ zóna . . „INSIDEÿ zóna . . . . . . . „OUTSIDEÿ zóna . . . . . . DMZ „vnější serveryÿ . . . . DMZ „soukromé serveryÿ .

8 8 8

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

9 9 9 10 10 10 10 11 15 15 15 15 15 15 15 16 16 16

3 Použité technologie 3.1 Bezpečnostní hrozby obecně . . Vnitřní hrozby . . . . . . . . . Vnější hrozby . . . . . . . . . . 3.2 Typy bezpečnostních hrozeb . . Průzkum . . . . . . . . . . . . . Neoprávněný přístup . . . . . . Odepření služeb . . . . . . . . . Manipulace s daty . . . . . . . 3.3 IDS a IPS . . . . . . . . . . . . Co je to IDS . . . . . . . . . . . Co je to IPS . . . . . . . . . . . Typy systémů IDS/IPS . . . . . IDS vs. IPS . . . . . . . . . . . 3.4 Koncepce analýzy IDS/IPS . . Popis analýzy . . . . . . . . . . Detekce založená na pravidlech Detekce založená na politikách .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . .

17 17 17 17 17 18 18 19 19 19 20 20 21 23 23 24 24 24

. . . . . . . . . . . . . . . . .

6

OBSAH

3.5

3.6

Detekce založená na anomáliích . Detekce „Honey Potÿ . . . . . . . IDS/IPS Snort . . . . . . . . . . Režimy Snortu . . . . . . . . . . Komponenty Snortu . . . . . . . Cisco . . . . . . . . . . . . . . . . IOS Intrusion Prevention System AIP-SMM-10 . . . . . . . . . . .

4 Vlastní řešení 4.1 Prvky v síti . . . . . . . 4.2 Snort . . . . . . . . . . . Zapojení zařízení . . . . Nastavení Linux Routeru Instalace . . . . . . . . . Spuštění . . . . . . . . . Konfigurace . . . . . . . Užitečné skripty . . . . . 4.3 Cisco Router 2811 . . . . Zapojení zařízení . . . . Nastavení Routeru 2811 Nastavení IDS/IPS . . . 4.4 Cisco ASA 5510 . . . . . Zapojení zařízení . . . . Nastavení Cisco ASA . . Nastavení AIP-SSM-10 .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . . . . . .

. . . . . . . .

25 25 25 26 26 27 27 27

. . . . . . . . . . . . . . . .

28 28 29 29 29 29 30 31 32 35 35 35 35 40 40 40 40

5 Ekonomické zhodnocení 46 5.1 Počáteční náklady . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 5.2 Náklady na provoz . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 6 Závěr

47

7 Literatura

48

Přílohy

49

A IOS IPS Images

50

B Konfigurace okolních zařízení v síťi Router 8 (Cisco Router 2811) . . . Switch 1, 2 (Cisco Catalyst 2960) . Switch 4 (Cisco Catalyst 2960) . . Switch 5 (Cisco Catalyst 2960) . .

51 51 52 53 54

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

7

OBSAH

Switch 9 (Cisco Catalyst 3750)

. . . . . . . . . . . . . . . . . . . . . 54

C Konfigurace Linux routeru

56

D Program „SNORT Alert readerÿ

57

E Konfigurace Cisco Routeru 2811

59

F Konfigurace Cisco ASA 5510

61

1

ÚVOD A CÍL PRÁCE

1 1.1

8

Úvod a cíl práce Úvod

Největší hrozbou dnešní doby v oblasti IT jsou uživatelé a s nimi spojené hrozby pro počítačové systémy. V průběhu několika posledních let vzniklo velké množství programů a technologií, jak se těmto útokům bránit. Bohužel spolu s nimi se zdokonalovaly i metody a technologie na jejich prolomení. Tato práce je napsána, aby poskytla čtenáři představu o tom, co jsou to systémy detekce a prevence narušení (dále jen IDS/IPS), jaké je jejich místo na poli síťové bezpečnosti a proč sehrávají vedle firewallů tak důležitou a neodmyslitelnou úlohu. Dále je práce zaměřena na seznámení s open source a komerčními řešeními a jejich následnou implementací. Zvolenými produkty jsou systémy od společnosti Cisco (IOS IPS a modul AIPSSM-10) a společnosti Sourcefire (Snort). Pro pochopení této práce jsou požadovány znalosti počítačových sítí a operačních systémů Linux, Cisco IOS.

1.2

Cíl práce

Cílem této práce je porovnání IDS/IPS systémů, především jejich open source a komerčních řešení. Součástí práce je vytvoření středně velké modelové počítačové sítě, v níž budou tyto systémy v rámci případové studie implementovány a ekonomicky zhodnoceny.

2

ANALÝZA SÍTĚ

2

9

Analýza sítě

Na sepsání této kapitoly se podíleli Milan Filla a Jan Kejda. Výše jmenovaní vytvořili, realizovali a odzkoušeli následně uvedené experimentální topologie v Síťové laboratoři ÚI PEF Mendelovy univerzity. Jednotlivá zapojení budou sloužit pro modelovou simulaci středně velké počítačové sítě (dále jen střední síť) a především k realizaci zabezpečení. V rámci zabezpečení řeší ve své bakalářské práci Milan Filla Cisco firewally a Jan Kejda IPS/IDS systémy. Kapitola Analýza sítě bude součástí těchto bakalářských prací: • Filla M. Realizace firemního firewallu s použitím Cisco technologií. Bakalářská práce. Brno, 2010. • Kejda J. Integrace IDS/IPS systému na bázi open source a komerčních technologií. Bakalářská práce. Brno, 2010.

2.1

Požadavky na firemní síť

Požadavky byly stanoveny následovně: • Jedná se o fiktivní síť střední velikosti (v našem případě cca 100 uživatelů). • Nepředpokládáme její přesné zaměření. • Zabezpečení perimetru je realizováno pomocí Cisco firewallu a IPS/IDS systému. • Správu této sítě má na starosti jeden IT pracovník. • Je trvale připojena k Internetu.

2.2

Metodika návrhu topologie

U metodiky PPDIOO 1 podle Hutton a kol. (2009) tvoří návrh topologie tyto tři základní kroky: • Zjištění uživatelských požadavků. Cílem je určit alespoň prvotní požadavky. • Rozbor již existující sítě. Popsat současný stav sítě a provést její analýzu a audit. • Návrh síťové topologie a řešení. Jde o detailní návrh síťové infrastruktury, služeb a síťových řešení (např. VOIP). (Hutton a kol., 2009) V našem případě se zabýváme pouze definováním uživatelských požadavků a návrhem síťové topologie a řešení. Druhý krok návrhu je vynechán, protože nemáme existující síť.

1

Zkratka pro 6 etap životní cyklu sítě: prepare, plan, design, implement, operate a optimize.

2.3

Analýza IT infrastruktury

2.3

10

Analýza IT infrastruktury

Pro počítačovou síť střední velikosti je nutné vytvořit IT infrastrukturu. U naší sítě nebudeme předpokládat přesnější zaměření, a proto se budeme snažit vytvořit co nejobecnější a nejuniverzálnější návrh. Je to z toho důvodu, že požadavky na IT infrastrukturu jsou v různých podnicích s různými zaměřeními odlišné. Skupiny uživatelů Uživatelé naší střední sítě jsou rozděleni do čtyř skupin: 1) Internet (pracovní stanice, servery atd.) 2) oddělení „Aÿ 3) oddělení „Bÿ 4) IT technik starající se o správu sítě Výše uvedená oddělení („Aÿ i „Bÿ) slouží především pro názornou ukázku škálovatelnosti jednotlivých uživatelů sítě do různých skupin, ke kterým je možné přiřadit různé bezpečnostní politiky. Z výše uvedeného rozdělení vyplývají požadavky jednotlivých skupin na serverové služby a bezpečnostní politika (kdo kam má přístup, jaký datový tok odkud kam může téct). Uživatelské požadavky Je nutné povolit komunikaci z Internetu pro webový server, který reprezentuje zájmy firmy, zajistit dopravu e-mailových zpráv a činnost DNS serveru pro překlad doménových jmen umožňujícího dostupnost těchto služeb. Pracovníci z oddělení „Aÿ a „Bÿ mají povolený přístup k webovým serverům v Internetu, internímu a externímu webovému serveru firmy a elektronické poště. Instant Messaging a Skype, jako významný komunikační prostředek, bude povolen. Poslední skupinu tvoří správce počítačové sítě, který má povolený přístup ke všem síťovým prvkům (včetně všech provozovaných serverů ve střední síti). Provádí konfiguraci, monitoring a údržbu sítě. Služby V následujícím textu si uvedeme serverové služby, které budou aplikovány ve střední síti. Firma bude provozovat externí a interní webový server (HTTP nebo HTTPS). Rovněž dojde k implementaci interního a externího e-mail serveru a DNS (pro převod doménových jmen a IP adres). Rozdělení DNS a e-mail serveru na dva samostatné servery, které spolu komunikují, je za účelem dosažení vyšší bezpečnosti počítačové sítě (Northcutt a kol., 2005). Jinou možností, jak realizovat DNS a dosáhnout vyšší úrovně zabezpečení, než při použití pouze jednoho serveru, je využití tří serverů nebo realizace „split DNSÿ.

2.4

Návrh topologie

11

Vzhledem k vyššímu počtu uživatelů ve střední síti je vhodné zavést centrální správu uživatelů pro sdílení přihlašovacích údajů a hesel. Centrální správa je realizována pomocí adresářového serveru Active Directory (další možností např. OpenLDAP), které jsou založené na protokolu LDAP. Snadnější administrativu nám umožňuje DHCP server, který přiděluje jednotlivým pracovním stanicím údaje potřebné pro připojení do sítě. Další možností, jak realizovat DHCP, je jeho implementace ve směrovacím zařízení nebo L3 přepínači. V neposlední řadě nesmí chybět LOG server (syslog) pro záznam zpráv z jednotlivých síťových zařízení (včetně serverů). Pro management sítě bude správce počítačové sítě využívat TELNET, SSH a VNC. TELNET je nutný pro připojení k sítovým zařízením, která nepodporují šifrovaní. SSH je zdokonalený TELNET (podpora šifrování, atd.). VNC slouží pro vzdálenou správu pracovních stanic. V některých případech bude využito spojení realizované pomocí HTTPS.

2.4

Návrh topologie

Z důvodů dosažení vyšší bezpečnosti jsou implementovány bezpečnostní zóny. Bezpečnostní zóna je logická skupina prostředků (systémů, sítí nebo procesů), které vykazují podobný stupeň rizika. Naše experimentální síť je rozdělena do pěti zón, které budou následně popsány. (Northcutt a kol., 2005) DMZ „vnější serveryÿ obsahuje servery, které poskytují informace veřejnosti a jsou dostupné z Internetu. DMZ „vnitřní serveryÿ obsahuje servery firmy, k nimž smí přistupovat pouze vnitřní uživatelé ze zóny firemních pracovních stanic. V „INSIDEÿ jsou umístěny pracovní stanice zaměstnanců firmy a v „OUTSIDEÿ (Internetu) pracovní stanice, servery, atd. Zóna „MANAGEMENTÿ slouží pro správu a údržbu sítě a obsahuje kriticky důležité servery. V DMZ „vnější serveryÿ poběží tyto služby: • externí webový server (HTTP nebo HTTPS) • e-mail server (SMTP a POP3) • externí DNS Externí DNS je konfigurovaný jako server pro předávání. Řeší dotazy, které se týkají externích názvů DNS. Odesílá požadavky na jejich vyřešení do Internetu. Na externí e-mail server se doručuje pošta z Internetu. Odkud si ji stahuje vnitřní e-mail server. V DMZ „soukromé serveryÿ poběží stejné služby jako v DMZ „vnější serveryÿ s tím rozdílem, že jsou určeny pro vnitřní uživatele a rozšířeny o DHCP a NTP server, který slouží pro synchronizaci času veškerých počítačů. V „MANAGEMENTÿ zóně poběží LOG, adresářový server Active Directory, RADIUS server slouží k ověření uživatelů z bezdrátové sítě a počítačová stanice pro správu sítě. V „INSIDEÿ zóně jsou umístěny pracovní stanice pro zaměstnance jednotlivých oddělení. Jednotlivé prvky sítě jsou přiřazeny do virtuálních LAN nebo sítí. Adresy jsou použity z privátního adresního prostoru IPv4. Jedná se o adresy třídy A 10.0.0.0/8, B 172.16.0.0/12 a C 192.168.0.0/16, kde první dva oktety zůstávají stejné, třetí oktet

2.4

Návrh topologie

12

slouží pro rozlišení virtuální LAN či sítě a maska je 255.255.255.0 (/24). Adresa pro výchozí bránu vždy končí jedničkou. Seznam použitých virtuálních LAN (VLAN) v experimentální topologii: • VLAN ID: 10. Obsahuje vnější servery firmy. Použitá adresace: 192.168.10.0/24. • VLAN ID: 20. Obsahuje vnitřní firemní servery. Použitá adresace: 192.168.20.0/24. • VLAN ID: 30. Zahrnuje pracovní stanice oddělení „Aÿ. Použitá adresace: 10.0.30.0/24. • VLAN ID: 40. Zahrnuje pracovní stanice oddělení „Bÿ. Použitá adresace: 10.0.40.0/24. • VLAN ID: 97 a 98. Nativní VLAN, které slouží pro ovládání sítových zařízení. Použitá adresace: 10.0.97.0/24 a 10.0.98.0/24. Použité sítě v experimentální topologii: • Adresy 10.0.50.0/30 a 10.0.60.0/30 jsou nutné pro dvoubodové spojení (point-to-point linky). • Pro „MANAGEMENTÿ zónu je použita adresace 172.16.99.0/24, ve které jsou umístěny kriticky důležité servery a počítače správce sítě. • Adresa 193.1.1.1/24 slouží pro připojení do Internetu. Poslední uvedená IP adresa je veřejná. Na tuto IP adresu jsou překládány všechny adresy veřejných serverů a pracovních stanic z „INSIDEÿ zón, pokud vyžadují komunikaci s Internetem. Samotný překlad je realizován na firewallu pomocí technologie PAT. Tato technologie je i součástí firewallu, oddělujícího „MANAGEMENTÿ zónu, aby zajistila vyšší bezpečnost. (Hucaby, McQuerry, 2004) Pro posílání záznamů z jednotlivých serverů na LOG server bude použito šifrované spojení realizované pomocí VPN tunelu. Servery poskytující služby budou VPN klienti a log server v „MANAGEMENTÿ zóně bude VPN server. Tato implementace bude realizována pomocí OpenVPN. Pro zajištění směrování v síti nám postačí statické směrování, protože naše topologie nejsou rozsáhlé. (Wendell, 2002) Podrobné znázornění topologií je na obr. 1 a obr.2.

2.4

13

Návrh topologie

INTERNET DMZ „vnější servery“ WWW server služby: DNS, WWW, Email, VPN (klient)

ISP Router

192.168.10.2/24 až 192.168.10.4/24

193.1.1.2/24

OUTSIDE Fa 0/0 193.1.1.1/24

DMZ „soukromé servery“ PAT

služby: DHCP, DNS, WWW, Email, NTP, VPN (klient)

Gigabitové spojovací linky TRUNK 802.1q NATIVE VLAN 97

Cisco Router 2811/Linux router

Gi 0/0/0 VLAN97 10.0.97.1/24 VLAN10 192.168.10.1/24 VLAN20 192.168.20.1/24

Gi 0/0/1 10.0.50.1/30

192.168.20.2/24 až 192.168.20.6/24

Cisco Catalyst 2960 (24TT‐L) VLAN97 10.0.97.2/24

INSIDE Gi 1/0/1 10.0.50.2/30 Cisco Catalyst 3750 (24PS‐E) 10.0.98.1/24

rozhraní VLAN 30 10.0.30.1/24 rozhraní VLAN 40 10.0.40.1/24 PAT Fa 0/24 10.0.60.2/30

Fa 0/0 172.16.99.1/24

Cisco Catalyst 2960 (8TC‐L) 172.16.99.2/24

Fa 0/1 10.0.60.1/30

management PC 172.16.99.3/24

Cisco Router 2811 / Linux router NATIVE VLAN 98 TRUNK 802.1q

MANAGMENT TRUNK 802.1q

Gigabitové spojovací linky Cisco Catalyst 2960 (48TT‐S) 10.0.98.3/24

Cisco Catalyst 2960 (48TT‐S) 10.0.98.2/24

služby: Syslog, RADIUS, Active Directory, VPN (server) 172.16.99.4/24 až 172.16.99.6/24

VLAN 30 zaměstnanci oddělení A

VLAN 40 zaměstnanci oddělení B

10.0.30.2/24 až 10.0.30.49/24

10.0.40.2/24 až 10.0.40.49/24

Obr. 1: Topologie, kde nejdůležitějším prvkem je směrovač Cisco 2811 nebo Linux.

2.4

14

Návrh topologie

INTERNET

DMZ „vnější servery“

WWW server

služby: DNS, WWW, Email, VPN (klient)

ISP Router

192.168.10.2/24 až 192.168.10.4/24

193.1.1.2/24

OUTSIDE Cisco Catalyst 2960 (8TC‐L) 172.168.99.2/24

Fa 0/0 Cisco Router 2811 / Linux router 193.1.1.1/24 Fa 0/0 172.16.99.1/24

DMZ „soukromé servery“ PAT

Gigabitové spojovací linky

Fa 0/1 10.0.60.1/24

TRUNK 802.1q NATIVE VLAN 97 Gi 0/0/0 VLAN97 10.0.97.1/24 VLAN10 192.168.10.1/24 VLAN20 192.168.20.1/24

Fa 0/1 10.0.60.2/24 management PC 172.16.99.3/24

Cisco ASA 5510

Gi 0/0/1 10.0.50.1/30

MANAGMENT

Cisco Catalyst 2960 (24TT‐L) VLAN97 10.0.97.2/24

služby: DHCP, DNS, WWW, Email, NTP, VPN (klient) 192.168.20.2/24 až 192.168.20.6/24

INSIDE Gi 1/0/1 10.0.50.2/30 služby: Syslog, RADIUS, Active Directory, VPN (server)

rozhraní VLAN 30 10.0.30.1/24 rozhraní VLAN 40 10.0.40.1/24 Cisco Catalyst 3750 (24PS‐E) 10.0.98.1/24

172.16.99.4/24 až 172.16.99.6/24

NATIVE VLAN 98 TRUNK 802.1q

TRUNK 802.1q Gigabitové spojovací linky Cisco Catalyst 2960 (48TT‐S) 10.0.98.3/24

Cisco Catalyst 2960 (48TT‐S) 10.0.98.2/24

VLAN 30 zaměstnanci oddělení A

VLAN 40 zaměstnanci oddělení B

10.0.30.2/24 až 10.0.30.49/24

10.0.40.2/24 až 10.0.40.49/24

Obr. 2: Hlavní prvek topologie, speciální zařízení pro zabezpečení Cisco ASA. Takto navržené síťové topologie jsou schopné pojmout přibližně sto uživatelů po ethernetu. Uvažujeme, že každá služba běží na samostatném serveru. Jde o nákladné řešení, avšak vhodné pro vyšší zabezpečení. Jinou možností je provozovat všechny služby na jediném serveru. Pro navýšení počtu uživatelů je možné připojit další přepínače k Cisco Catalyst 3750 a tím získat kapacitu pro stovky uživatelů. Přepínač Cisco Catalyst 3750 je poměrně drahý, a proto je možné ho nahradit přepínačem Catalyst 3650, který by měl postačovat. Síť lze rozšířit o bezdrátové připojení. Redundancí topologie jsme se nezabývali.

2.5

2.5

Použitý hardware

15

Použitý hardware

Výčet veškerého použitého zařízení při realizaci zapojení experimentálních topologií. Síťové prvky • • • • • •

1× 1× 1× 4× 1× 1×

Cisco 2811-HSEC/K9 Cisco 2811-SEC/K9 Cisco ASA 5510 IPS Edition (ASA5510-AIP10-K9) Cisco C2960-24TT-L (WS-C2960-24TT-L) Cisco C3750-24PS-E (WS-C3750-24PS-E) IP Services Image (EMI) PC „Linux routerÿ (Pentium 4 2.4 GHz, 1GB RAM)

Servery a klientské počítače Pro realizaci serverů a klientských počítačů byly použity stolní počítače výukové části laboratoře Q 01.48 ÚI PEF Mendelovy univerzity s těmito parametry: dvou jádrový procesor s frekvencí 1,8 MHz, operační paměť o velikosti 512 MB, pevný disk s kapacitou 80 GB a síťová karta.

2.6

Použité operační systémy

Operační systémy Microsoft Windows jsou nasazeny na pracovní stanice zaměstnanců a vedoucích. Servery běží na distribucích Linuxu, konkrétně CentOS a Ubuntu. Síťové prvky firmy Cisco mají implementován IOS (Internetwork Operating System).

2.7

Přístup ke službám

„MANAGEMENTÿ zóna • Pracovní stanice správce sítě bude mít přístup ke všem síťovým zařízením pro jejich konfiguraci a údržbu. • LOG server bude sbírat vybrané generované zprávy z jednotlivých sítových zařízení (kromě běžných pracovních stanic) a serverů. Jednotlivé logy ze serverů budou posílané po šifrovaném VPN tunelu. • Adresářový server Active Directory bude sloužit pro sdílení přihlašovacích údajů a hesel pro vnitřní uživatele, tj. zaměstnance a vedení podniku. „INSIDEÿ zóna • Oddělení „Aÿ a „Bÿ má přístup ke všem službám na firemních serverech a do „OUTSIDEÿ zóny (Internetu) pouze pro webové servery, Skype a Instant Messaging (konkrétně MSN).

2.7

Přístup ke službám

16

• Veškerá komunikace do této zóny je zakázána. Povolena je pouze návratová doprava. „OUTSIDEÿ zóna • Vnější uživatelé mají povolenou komunikaci pouze se servery umístěnými v DMZ „veřejné serveryÿ. • Komunikace do ostatních zón je zakázána. DMZ „vnější serveryÿ • Jakákoliv doprava iniciovaná v této zóně a směřující do „INSIDEÿ zóny je zakázána. • Komunikace do „OUTSIDEÿ je povolena pouze pro dopravu související s DNS nebo Email. DMZ „soukromé serveryÿ • Jakákoliv doprava iniciovaná v této zóně a směřující do „INSIDEÿ zóny je zakázána. • Obvykle doprava mezi demilitarizovanými zónami je zakázána. V našem případě bylo potřeba pro vyšší zabezpečení rozdělit server pro DNS a elektronickou poštu do dvou demilitarizovaných zón. • Je povolena pouze doprava iniciovaná v této zóně související s elektronickou poštou a DNS do DMZ „vnější serveryÿ.

3

POUŽITÉ TECHNOLOGIE

3

17

Použité technologie

3.1

Bezpečnostní hrozby obecně

Podle Wenstorma (2003) je bezpečnostní hrozba, která ovlivňuje každou síťovou infrastrukturu a zařízení v ní obsažených, člověk. Tito lidé, kteří usilují z našeho pohledu o nekalé činnosti, se souhrnně označují jako hackeři. Mají i další označení1 podle toho, jak se staví k tomu, co dělají a jak jsou pro počítačové systémy nebezpeční. Bezpečnostní hrozby můžeme rozdělit do dvou kategorií, vnitřní hrozby a vnější hrozby, podle postavení útočníka vzhledem k naší organizaci. Vnitřní hrozby Vnitřní hrozby jsou charakteristické tím, že za nimi stojí uživatelé uvnitř naší organizace a ať už vědomě nebo nevědomě ohrožují svými aktivitami naše systémy. • zaměstnanci s nekalými úmysly (chování za účelem poškození a obohacení) • zaměstnanci, kteří nevědomě páchají škodlivou aktivitu (stahování neznámého obsahu, který může následně poškodit systém) • zaměstnanci, kteří se chovají nevhodně v rámci vnitřní sítě (slabé heslo, změny v nastavení) Vnější hrozby Vnější hrozby jsou charakteristické tím, že za nimi stojí uživatelé mimo naši organizaci a ať už vědomě nebo nevědomě ohrožují svými aktivitami naše systémy. • zábava a vzrušení (požitek a sebe dokazování nabouráváním systémů) • konkurence (konkurenční boje, vytěžování informací) • nepřátelé (informace státní vojenské povahy, nepřátelé státu) • zloději (vyhledávání konkrétních informací za účelem zisku) • špioni (průmyslová špionáž) • bývalí zaměstnanci (znalost sítě, odplata, zábava)

3.2

Typy bezpečnostních hrozeb

Typy bezpečnostních hrozeb by se dali rozdělit podle Wenstroma (2003) a Thomase (2004) do několika skupin. Každý tento typ hrozby využívá rozličná zranitelná místa (vurnerabilities) v systémech. Typy těchto hrozeb jsou následující: • Průzkum (reconnaissance) • Neoprávněný přístup (unauthorized access) • Odepření služeb (denial of service) • Manipulace s daty 1

Podrobnější rozdělení je např. White hat hacker, Black hat hacker (Cracer), Script kiddy, Academic hacker . . . (Watkins, Wallace, 2008)

3.2

Typy bezpečnostních hrozeb

18

Průzkum „Inteligence preparation of battlefieldÿ je vojenský termín používaný k definování metod, které se používají pro zvýšení znalostí o nepříteli a terénu. Během vojenských akcí tento koncept poukazoval na to, jak lze za pomoci průzkumných jednotek zjistit přehled o bojišti a cíli a díky tomu přizpůsobit strategii. Podobným způsobem postupuje i hacker v případě průzkumu sítě. (Thomas, 2004) Jako průzkum lze popsat jakékoliv neoprávněné chování v síti za účelem mapování, monitorování a odhalování služeb nebo zranitelných míst v systému. Takto získané informace útočník používá k vedení dalších pokročilejších útoků. (Wenstrom, 2003) Průzkum může být buď pasivní nebo aktivní. Pasivním průzkumem se myslí získávání informací z veřejně dostupných zdrojů, jako jsou webové stránky, telefonní čísla, články v novinách atd. Tyto informace může hacker použít pro sociální inženýrství nebo identifikování sítě. Aktivním průzkumem se myslí takové chování, které již přímo zasahuje do cílené sítě, např. skenování IP adres. Metody průzkumu se dají dále rozdělit na samotné rozpoznávání cílů a odposlech. Rozpoznávání cílů je prvním krokem k vedení dalších útoků. Spočívá ve vyhledání zařízení v síti. Zahrnuje se do něj získávání IP adres a doménových jmen (to lze i jednoduchými příkazy např. ping), skenování portů nebo dalších informací o zařízení (typ operačního systému). Odposlech slouží k zaznamenávání síťové komunikace, která se dá dále využít k zjištění důležitých dat nebo dalších útoků, obzvláště toho, jaký typ komunikace na daném uzlu probíhá, na jakých portech a kam komunikace směřuje. Neoprávněný přístup Dalším krokem hackera může být získání přístupu k zařízení. Toho může docílit několika různými způsoby. Podle Thomase (2004) a Wenstroma (2003) jsou to zejména: Útok na operační systém využívá toho, že většina OS bývá po instalaci špatně nakonfigurována nebo neaktualizována. Takovýchto bezpečnostních děr může hacker využít. Zpravidla jsou to povolené nebo zastaralé služby pro vzdálený přístup. Útok na aplikace spočívá ve využití chyb starších programů, které se v dané síti využívají a které v době jejich vytvoření nebyly řádně otestovány nebo zabezpečeny. Pokud hacker odhalí nějaký takový program a má potřebné programovací znalosti, může jej velmi snadno poškodit, pozměnit nebo využít pro získání přístupu. Útok na chybné nastavení využívá nedbalosti administrátorů nebo uživatelů, kteří buď úmyslně nebo nevědomě pozměnili nastavení systému nebo programu (např. nastavení přihlášení k zařízení defaultně admin/admin). Útoky za pomoci skriptů jsou zpravidla útoky orientované na přetečení zásobníku nebo získávání hesel.

3.3

IDS a IPS

19

Obecně útočník postupuje v několika krocích. Prvním je získání prvotního přístupu. K tomu se vážou výše zmíněné útoky a následné získání privilegovaného přístupu. Po prvotním přístupu je dalším krokem zajištění sekundárního přístupu a ten spočívá ve vytvoření zadních vrátek a zametení veškerých stop. Odepření služeb Pod pojmem Odepření služeb můžeme chápat takovou činnost, která vede k zablokování systémů nebo služeb. Obecně by se daly tyto útoky rozdělit do tří kategorií. (Wenstrom, 2003) Přetížení systémových prostředků je útok, který se snaží vyčerpat systémové nebo síťové zdroje cílového zařízení nebo hostitele. K tomuto útoku je nejčastěji používána záplava paketů ping nebo polootevřený útok s pakety SYN. Podvržení dat mimo platný rozsah je typ útoku, který využívá principu podvržení hlavičky IP. Nejčastěji se jedná o falšování zdrojové adresy, chybně formátované hlavičky nebo fragmentaci paketů. Distribuované útoky neboli DDoS jsou útoky vedené koordinovaně z více systémů. Tyto útoky jsou v případě špatného zabezpečení velmi efektivní a nebezpečné. Využívají většinou jednu z výše uvedených technik DoS, nicméně s větší silou. Manipulace s daty V případě, že se hovoří o manipulaci s daty, myslí se tím zachycování síťového toku dat, popř. jeho pozměňování. S touto hrozbou je ve většině případů spojeno falšování IP adresy, krádeže relací, přesměrování nebo popření identity v síti. Oblíbenou metodou manipulace s daty je ”man in the middle”, která spočívá v zapojení hackera do síťového provozu tak, aby veškerý síťový provoz z uzlu A do uzlu B šel vždy přes něj. (Wenstrom, 2003)

3.3

IDS a IPS

Zabezpečení počítačové sítě je v dnešní době to nejdůležitější z hlediska ochrany osobních údajů, firemních dat a soukromého života každého z nás. Zabezpečení se sestává z komplexního zapojení a provozování nikoliv jediného bezpečnostního prvku, ale hned několika zaráz. Výše zmíněný přehled hrozeb se dotýká i naší sítě a proto je nezbytně nutné učinit veškerá bezpečnostní opatření, které si můžeme finančně dovolit. Jistá bezpečnostní politika byla již uvedena v kapitole „Analýza sítěÿ. Je však nutné ji dále rozvinout a hlavně prakticky uplatnit. Mezi hlavní bezpečnostní body při návrhu naší sítě je použití Firewallu a IDS/IPS (Intrusion Detection System/Intrusion Protection System) senzoru. IDS/IPS senzory jsou velmi účinné při obraně proti hrozbám jako je aktivní rozpoznávání cílů, hromadné dotazy ping, prohledávání portů, útoky vzdáleným přístupem a odepření služeb.

3.3

IDS a IPS

20

Pro zde prováděné bezpečnostní nastavení a implementaci je vhodné v případě praktického nasazení použití IDS/IPS senzoru zároveň s Firewallem. Jedná se o dva prvky zabezpečení, které se navzájem velmi vhodně doplňují. Podrobný popis zabezpečení a samotnou implementaci za pomoci Firewallu řeší můj kolega a spolužák Milan Filla ve své Bakalářské práci „Realizace firemního firewallu s použitím Cisco technologií, 2010ÿ. Tato práce tedy bude zkoumat systémy a technologii IDS/IPS a nastavení senzorů pro zajištění bezpečnosti sítě. Je naivní si myslet, že vše vyřeší jen antivirus na koncových stanicích uživatelů, nebo dobrý firewall na začátku firemní sítě. Vždy se musí kombinovat hned několik bezpečnostních systémů a technologií pro zajištění opravdu dobrého zabezpečení. Jedním z těchto systémů, o kterých se v rámci široké veřejnosti moc nemluví, jsou systémy IDS/IPS, i když zastávají v rámci bezpečnosti velmi důležitou a podstatnou úlohu. IDS/IPS pracují od třetí vrstvy OSI modelu (L3 až L7), neboli síťové vrstvy. Tato vrstva zabezpečuje směrování v síti a síťové adresování. Na této vrstvě převezmou IDS/IPS pakety, které v daném uzlu zaznamenají a postupně provedou jejich rozložení až do sedmé síťové vrstvy OSI modelu (hloubková inspekce). Všechny tyto informace postupně porovnávají s pravidly a pokud dojde ke shodě s některým z nich, provedou příslušnou akci dle nastavení. Co je to IDS IDS můžeme chápat jako souhrn nástrojů, metod a zdrojů, které nám napomáhají zjišťovat a identifikovat nebezpečné a neschválené síťové aktivity, které můžeme dále zaznamenávat, archivovat a analyzovat v rámci dalšího zabezpečení. IDS funguje na principu kontrolování veškerého síťového provozu na daném uzlu sítě. Analyzuje síťový provoz a v případě, že nalezne narušení, poskytne o tom záznam. Co je to IPS IPS systém je velmi podobný systémům IDS. Hlavním rozdílem mezi IDS a IPS je to, že IPS není jen pasivní prvek v síti, který nás upozorňuje na hrozby, ale dokáže se aktivně podílet na filtrování dat. Tato schopnost „bránit seÿ hrozbám za hranice třetí síťové vrstvy z něj dělá velmi užitečné zařízení v oblasti síťové bezpečnosti. Dle nastavených pravidel může vykonávat akce jako alert, drop, reset a block. Toto jsou nejobecnější způsoby chování, mohou se ovšem lišit dle produktu.

3.3

IDS a IPS

21

Typy systémů IDS/IPS IDS/IPS systémy (senzory) se rozdělují na dva různé typy. Odlišujeme je podle toho kde a jak jsou tyto senzory zapojeny. (Endorf a kol., 2005) Charakteristické pro HIDS/HIPS (Host Based Intrusion Detection/Prevention System) je to, že je zapojen do různých síťových uzlů, kde monitoruje síťovou aktivitu. Mohou to být koncoví uživatelé, spojovací síťové uzly a nebo třeba servery. Toto řešení vyžaduje specializovaný software a vzhledem k počtu implementací je i jeho cena poměrně vysoká. Hlavní výhodou je to, že detekuje útoky přímo na koncových zařízeních a umožňuje lepší přehled o tom, co se na něm děje. V případě NIDS/NIPS (Network Based Intrusion Detection/Prevention System) je zapojení provedeno na hlavních síťových uzlech (routery, switche, firewally). Jedná se o nejpoužívanější metodu. Výhodou je levnější implementace, širší možnosti použití, odezva v reálném čase a komplexní sledování dat v síti. Hlavní nevýhodou tohoto zapojení je nemožnost kontroly šifrovaných datových toků. Inline mód je způsob zapojení senzoru „sériověÿ. Tímto zapojením je přímo vyžádáno to, aby veškerý síťový provoz proudil vždy skrze IDS/IPS senzor. Výhody jsou vyšší bezpečnost. Nevýhodou jsou vysoké požadavky na výkon. V tomto módu se zapojují převážně IPS. Promiskuitní mód je způsob zapojení senzoru „paralelněÿ. Toto zapojení umožňuje síťový provoz přeposílat na senzor, který jej zpracovává. Není nutný příliš velký výkon zařízení. Zapojení vhodné pro senzory IDS. V praxi se lze setkat i se zapojením různých variant zároveň. V této práci se ovšem zaměříme na tu nejobecnější a nejpoužívanější a nejvhodnější variantu zapojení pro střední firmu a to je NIDS/NIPS v inline módu. V návrhu menších a středních počítačových sítí se převážně využívá IDS/IPS ve formě přídavných modulů nebo programů u konkrétních bezpečnostních zařízení nebo routerů. Rozsáhlejší zapojení IDS/IPS jako samostatných zařízení je vzhledem k jejich cenové náročnosti realizováno až u větších sítí. Ilustrační zapojení HIDS/HIPS a NIDS/NIPS je naznačeno na obr. 3. Na konečných stanicích se používá nejčastěji HIPS. Jedná se převážně o software na bázi hlídacích agentů a antivirových programů. Samotný způsob zapojení se často musí přizpůsobit tomu, jak je koncipováno samotné zařízení, popřípadě program.

3.3

22

IDS a IPS

INTERNET

In‐line NIDS/NIPS DMZ

NIDS/NIPS promiskuitní

HIPS

Hraniční Router

HIPS

IDS/IPS jako modul/program

HIPS NIDS/NIPS promiskuitní

INSIDE

HIPS

HIPS

HIPS

Obr. 3: Způsoby zapojení typů IDS/IPS.

3.4

23

Koncepce analýzy IDS/IPS

INTERNET

INTERNET

1.

1.

inline mód

promiskuitní mód Outside

Outside

2. Hraniční Router

IPS

2.

Hraniční Router

IDS

3. Inside

Inside 4.

3.

Obr. 4: Ukázka proudění datového toku podle módu senzoru na hraničním routeru.

IDS vs. IPS Nelze porovnávat jestli je lepší IDS nebo IPS, protože se jedná o dva systémy, které plní z velké části podobným způsobem jinou úlohu. IDS je vhodný pro širší monitorování sítě a aktivit v ní. Nesmíme opomenout, že jsou to pouze pasivní prvky. Poskytují nám ale díky svému pasivnímu přístupu mnohem více informací o aktivitách bez narušení. IPS jsou na rozdíl od IDS přímo zapojené v síti a aktivně zasahují do toho co se v ní děje, proto je jejich správné nastavení mnohem choulostivější záležitostí. Mohlo by se totiž stát, že špatně nastavené IPS bude blokovat i správnou komunikaci což je poměrně nemilá záležitost, která by mohla v důsledku ovlivnit funkcionalitu počítačové sítě. Hlavním problémem systémů IDS i IPS jsou falešné poplachy (činnosti v síti, které byly označeny negativně, i když se o narušení nejednalo).

3.4

Koncepce analýzy IDS/IPS

Analýza IDS/IPS je nejdůležitější proces, který je nutno pochopit pro správné porozumění těmto systémům.

3.4

Koncepce analýzy IDS/IPS

24

Popis analýzy Proces analýzy na IDS/IPS lze rozdělit do čtyř částí. (Scott a kol., 2004) 1. Předzpracování 2. Analýza 3. Odezva 4. Ladění Předzpracování je proces, který po sběru dat upravuje přijatá data pro klasifikaci. Což je příprava dat pro danou formu následné detekce. Jedná se většinou o zpracování dat na modulech a preprocesorech (např. spojování fragmentovaných dat) Analýza je proces samotného porovnávání získaných dat a provedení příslušné „detekceÿ nad nimi. Odezva zabezpečuje samotnou činnost IDS/IPS senzoru jako třeba poplach, odchycení, reset spojení nebo blokování. Ladění je závěrečnou částí analýzy, která je nejvíce závislá na lidském faktoru. Zde se musí na základě získaných dat provést vyhodnocení a ladění IDS/IPS za účelem předejití falešným poplachům. Jde o nejdůležitější část v rámci správného nastavení senzorů na míru naší sítě. Detekce založená na pravidlech Jedná se o detekci, která úzce závisí na signaturách neboli pravidlech útoků. Základem každé IDS/IPS založené na této detekci musí být nezbytně aktualizovaná databáze těchto signatur, jinak by nemohl tento senzor plnit vůbec svoji funkci, protože kdyby senzor neměl s čím porovnávat přicházející data, neidentifikoval by žádnou narušující aktivitu. (Watkins, Wallace, 2008) Samotná analýza již byla popsána výše, ale pro upřesnění je dobré podotknout, že signatury jsou popsány jako řetězce útoků a v případě, že dojde ke shodě nějakého pravidla s přijatým obsahem rámce, dojde ke spuštění dané akce na senzoru. Detekce založená na porovnávání dat podle signatur je v dnešní době nejrozšířenější a nejpoužívanější technologií pro IDS/IPS systémy. Detekce založená na politikách Tato detekce na základě politik funguje za předpokladu, že je správně definovaná politika počítačové sítě a klientů v ní. Na základě politik lze definovat, které zařízení mohou v síti komunikovat a hlavně kam a jakým způsobem. V případě, že dojde k chování, která s těmito politikami nekoresponduje, dojde k nahlášení popř. jinému předvolenému zásahu. (Watkins, Wallace, 2008)

3.5

IDS/IPS Snort

25

Detekce založená na anomáliích Základním principem této detekce je určení či naučení senzoru tomu, co kdo na síti provádí, jakou činnost a v jaké míře. Podle toho může tyto aktivity v síti sledovat a pokud se budou vymykat nastaveným či zjištěným vzorům chování, vyhodnotí je a adekvátně dle nastavení zakročí. (Watkins, Wallace, 2008) Senzory lze nastavit jednoznačně na předpokládané chování, nebo lze danou síť po nějakou dobu monitorovat a dle získaných informací nastavit určité vzorce chování. Detekce „Honey Potÿ Je způsob, jakým lze velmi dobře nalákat případného útočníka do určitého místa a zkoumat jeho chování a na jeho základě pozměnit a vylepšit naše zabezpečení. (Watkins, Wallace, 2008) Celá myšlenka spočívá v podstrčení „návnadyÿ nebo-li zařízení, které se jeví navenek jako zranitelné místo sítě, na které se útočník naláká. Senzory nám potom poskytnou informace o tom, jakým způsobem na dané zařízení útočník zaútočil, jakým způsobem se snažil dostat dál do sítě a obecně o způsobech jeho útoku. Nezbývá nic jiného, než provést analýzu této činnosti a provést příslušné kroky k zvýšení bezpečnosti systému, pokud tomu tak není.

3.5

IDS/IPS Snort

Snort je open-source IDS/IPS vyvíjený společností Sourcefire. Snort je schopen provádět detekce založené na pravidlech, politikách a anomáliích. Nejčastěji využívaná detekce je detekce podle pravidel, pro použití detekce založené na anomáliích je zapotřebí nadstaveb (nastavení preprocesorů, dalšího softwaru). Zároveň používá a poskytuje velké množství dodatečných kontextových informací1 . Tento systém běží na mnoha operačních systémech Windows, Unix, Linux nebo AIX. Ačkoliv je Snort především NIDS/NIPS, lze jej nakonfigurovat také jako HIDS/HIPS. (SNORT Users Manual, 2010) Společnosti Sourcefire, která se zabývá zároveň komerčním řešením IDS/IPS za použití programu Snort a to u řady výrobků 3D Systems, které jsou hardwarovou a softwarovou nadstavbou. Jsou to profesionální výrobky, které zabezpečují síťovou bezpečnost a z nichž většina právě využívá program Snort. (The Sourcefire 3D System, 2010) V této práci využíváme od společnosti Sourcefire Snort pouze jako software nasazený na Linuxový Router. Je nutné podotknout, že jako každé IDS/IPS založené na detekci za pomoci pravidel, potřebuje program Snort aktualizované signatury. Signatury pro program Snort jsou psány Vulnerability Research Team (VRT) přímo společností Sourcefire. 1

např. číslo signatury, závažnost hrozby, popis narušení, cílová/zdrojová IP a MAC adresa, číslo protokolu . . .

3.5

26

IDS/IPS Snort

Proto pokuď chceme, aby IDS/IPS fungovalo správně, musíme průběžně aktualizovat pravidla. Pravidla od VRT Sourcefire jsou placená. Existují ovšem na mnoha různých stránkách volně dostupné komunitami spravované balíky signatur, které lze získat zdarma. Bohužel nedosahují takové přehlednosti a kvality. Režimy Snortu Snort pracuje v několika zajímavých režimech, které se vzájemně doplňují. (SNORT Users Manual, 2010) 1. Sniffer Mode (Slídící režim) 2. Packet Logger Mode (Režim záznamníku) 3. IDS Mode 4. IPS Mode (inline režim)

Komponenty Snortu Snort IDS má čtyři hlavní komponenty, viz obr. 5. (SNORT Users Manual, 2010) • Jednotka paketového záchytu zajišťuje předávání dat ze síťového rozhraní dalším aplikacím Snortu. • Zásuvné moduly preprocesoru testují a prohlížejí paketová data a rozhodují, co s nimi provést – analyzovat, změnit, odmítnout nebo výstraha. • Detekční jednotka dekóduje pakety a porovnává jejich části s nastavenými pravidly, v případě shody vytváří výstrahu. • Výstupní zásuvné moduly vytváří informaci o průběhu činnosti IDS/IPS (výpis logů narušení).

Jednotka paketového záchytu

Zásuvné moduly preprocesoru

Detekční jednotka

Obr. 5: Komponenty Snortu.

Výstupní zásuvné moduly

3.6

Cisco

27

Snort má také mnoho praktických použití v rámci velkého množství nadstaveb. Hlavní je samozřejmě nasazení a doplnění u produktů od společnosti Sourcefire. Můžeme na něj ale narazit i u produktů jako: • IPFire (distribuce pro vytvoření domácího routeru, Linux) • Kernun UTM (hardwarové řešení bezpečnostního prvku v síťi, FreeBSD) • Astaro (komerční softwarový popř. hardwarový firewall, Linux) • Easy IDS (distribuce pro přehlednou IDS, Linux) • BASE (základní prvek pro analýzu a zabezpečení, Linux) • a mnoho dalších

3.6

Cisco

Společnost Cisco vyrábí IDS/IPS systémy jako softwarové řešení pro firewally (IOS IPS) nebo hardwarové zařízení či moduly (AIP-SSM-10/20, IPS 4200 series). IOS Intrusion Prevention System IOS IPS je produktem od společnosti Cisco. Jedná se o softwarové IDS/IPS, které se dodává jako součást některých IOS Imag. Na tomto IDS/IPS se používají signatury SMEs (Signature Micro-Engines), které se ukládají na flash paměti routeru a umožňují poté provádění detekce. Cisco IOS IPS senzory mohou být zapojeny jen v inline módu. Provádí hloubkovou inspekci založenou na pravidlech. Jsou omezeny na NIDS/NIPS a obsahují pouze jeden senzor, pro který lze nastavit pouze jednu sadu pravidel. IOS IPS můžeme nalézt na Advanced Security, Advanced IP Services a Advanced Enterprise. (Cisco IOS IPS Data Sheet, 2010) Podrobnější přehled se nachází v příloze A. AIP-SMM-10 Jedná se o specializovaný IDS/IPS modul, který je určen pro řadu Cisco ASA 5500. Oproti IOS IPS je tento modul vybaven vlastním procesorem a operační pamětí, v případě AIP-SSM-10 je to procesor Celeron 2.0 GHz a operační pamět 1.0 GB. To umožnuje jeho bezproblémové nasazení i v případě větší zátěže na síťového provozu. AIP-SSM-10 lze zapojit jak v inline, tak v promiskuitním módu. Kromě hloubkové inspekce založené na pravidlech, je schopen provádet detekci na základě anomálií (není předmětem této práce). Zapojení jako NIDS/NIPS. Oproti IOS IPS má toto zařízení virtuální senzory, které je možné zařazovat pro snímací rozhraní vždy jen v poměru 1:1. Každému virtuálnímu senzoru lze přiřadit libovolnou sadu pravidel. (Frahim, Santos, 2006)

4

28

VLASTNÍ ŘEŠENÍ

4 4.1

Vlastní řešení Prvky v síti

Samotná implementace IDS/IPS se bude lišit podle zvoleného produktu. Nicméně jedna část pro všechny návrhy je stejná a to, okolní síťové prvky. Kompletní zapojení této sítě se uskutečnilo v Síťové laboratoři ÚI PEF. Označení síťových prvků a konečných zařízení odpovídá skutečnému označení, lze jej ovšem brát i čistě informativně pro lepší orientaci. Podrobný postup konfigurace IP adres, VLAN, NAT a směrování u okolních síťových zařízení je popsán v příloze B. Obr. 6 zobrazuje topologii středně velké počítačové sítě s třemi možnostmi implementace hraničního routeru s IDS/IPS senzorem.

INTERNET DMZ „vnější servery“ WWW server Simulace WAN

ISP Router 09 win

08 lin

služby: DNS, WWW, Email, VPN (klient) 192.168.10.2/24 až 192.168.10.4/24

193.1.1.2/24

OUTSIDE Cisco Router 2811

DMZ „soukromé servery“

193.1.1.1/24

PAT

Linux Router

?

Cisco ASA 5510

Gigabitové spojovací linky TRUNK 802.1q NATIVE VLAN 97 VLAN97 10.0.97.1/24 VLAN10 192.168.10.1/24 VLAN20 192.168.20.1/24

10.0.50.1/30

06 lin SW 4

Cisco Catalyst 2960 (24TT‐L) VLAN97 10.0.97.2/24

služby: DHCP, DNS, WWW, Email, NTP, VPN (klient) 192.168.20.2/24 až 192.168.20.6/24

INSIDE Gi 1/0/1 10.0.50.2/30

rozhraní VLAN 30 10.0.30.1/24 rozhraní VLAN 40 10.0.40.1/24

Cisco Catalyst 3750 (24PS‐E) 10.0.98.1/24

Fa 0/0 172.16.99.1/24

PAT Fa 0/24 10.0.60.2/30

Fa 0/1 10.0.60.1/30

Cisco Catalyst 2960 (8TC‐L) 172.16.99.2/24 05 win

SW 5

R8

management PC 172.16.99.3/24

SW 9

Cisco router 2811 / Linux router NATIVE VLAN 98 TRUNK 802.1q

MANAGMENT TRUNK 802.1q

Gigabitové spojovací linky Cisco Catalyst 2960 (48TT‐S) 10.0.98.3/24

Cisco Catalyst 2960 (48TT‐S) 10.0.98.2/24

SW 1

SW 2

04 lin

služby: Syslog, RADIUS, Active Directory, VPN (server) 172.16.99.4/24 až 172.16.99.6/24

02 win

03 win

Vlan 30 zaměstnanci oddělení A

Vlan 40 zaměstnanci oddělení B

10.0.30.2/24 až 10.0.30.49/24

10.0.40.2/24 až 10.0.40.49/24

Obr. 6: Okolní síťové prvky.

4.2

4.2

29

Snort

Snort

Zapojení zařízení Popis a zapojení linuxového routeru s IDS/IPS senzorem Snort jenž byl popsán v kapitole 3 Použité technologie je zobrazen na obr. 7. Toto zařízení bylo nakonfigurováno v rámci zapojení do modelové středně velké počítačové sítě.

OUTSIDE

eth 1 193.1.1.1/24

PAT

DMZ

Linux Router Snort

eth 3 10.0.50.1/30

eth 2 VLAN97 10.0.97.1/24 VLAN10 192.168.10.1/24 VLAN20 192.168.20.1/24

INSIDE

Obr. 7: Linux Router s IDS/IPS Snort.

Nastavení Linux Routeru Podrobný popis konfigurace síťových rozhraní, statického směrování, VLAN a PAT je v příloze C. V této kapitole bude popisována pouze konfigurace úzce související s IDS/IPS senzory. Jeho instalace, možnosti spouštění, nastavení a užitečné programy. Instalace Popisovaná instalace může být uplatněna pro operační systémy Ubuntu a Debian. Příkazy v terminálu pro instalaci programu Snort jsou: wget http://dl.snort.org/snort-current/snort-2.8.6.tar.gz získání programu Snort

4.2

Snort

30

mv snort-2.8.6.tar.gz /usr/src cd /usr/src tar xzvf snort-2.8.6.tar.gz změna umístění programu a rozbalení cd snort-2.8.6 ./configure --enable-inline make make install postup samotné instalace programu Instalace případných pravidel probíhá buď pomocí programu na aktualizaci signatur Oinkmaster nebo manuálně. V případě manuální instalace je potřeba obsah složky „rulesÿ nakopírovat do adresáře. /usr/src/snort-2.8.6/rules/ Spuštění Pro spuštění programu Snortu je nejdříve nutné nastavit iptables. ./iptables -A INPUT -j QUEUE ./iptables -A FORWARD -j QUEUE veškerá komunikace ze síťových rozhraní bude „naskládánaÿ do fronty pro další zpracování (Botoš, C., 2006) Až v případě, že data ze všech síťových rozhraní budou odesílána na frontu, můžeme spustit Snort. ./snort -Qc -A fast /usr/src/snort-2.8.6/etc/snort.conf -l /var/log/ snort Popis hlavních parametrů (podrobněji v manuálových stránkách programu): • -Q (volba udávající, že program Snort bude odebírat pakety z fronty iptables) • -c (definuje cestu ke konfiguračnímu souboru) • -A (definuje vzhled jakým se budou zaznamenávat narušení) • -l (nastavuje kam se mají ukládat záznamy o narušení) • -D (spouští Snort jako daemon)

4.2

Snort

31

Kontrola a cesta paketů u IPS Snort probíhá takto: 1. Paket příjde na rozhraní kde jej převezme iptables. 2. Iptables uloží paket do fronty. 3. Z fronty převezme paket program Snort. 4. Snort provede na základě nastavených pravidel hloubkovou kontrolu. 5. Pokuď Snort nezjistí, že se jedná o narušení, předá paket dále do provozu. Konfigurace Konfigurace programu Snort je v souboru /usr/src/snort-2.8.6/etc/snort.conf. Jedná se o velice rozsáhlý textový soubor, který obsahuje nastavení dekodérů, preprocesorů, pluginů, knihoven a toho nejdůležitějšího, signatur. Balíčky signatur se buď dají používat v rámci kontroly nebo ne. V případě, že nechceme daný balíček signatur používat, stačí tento řádek jednoduše zakomentovat křížkem. Každý balíček obsahuje množství signatur, podle prvního slova před signaturou lze zjistit, jakou akci tato signatura vyvolá v případě, že program Snort během analýzy najde shodu právě s touto signaturou. Možnosti u programu Snort jsou: • alert (poskytne pouze záznam o narušení) • drop (paket je zahozen a je zaznamenáno narušení) • reject (paket je zahozen a informace o něm je uschována, v případě TCP odesláno TCP reset, v případě UDP odesláno ICMP port unreachable) • sdrop (paket je zahozen bez záznamu) Tímto způsobem lze měnit akce, které budou prováděny a de facto konfigurovat IDS/IPS senzor. Všechna pravidla lze rozdělit do několika hlavních kategorií podle toho, jakým útokem se zabývají. Díky tomuto rozdělení můžeme přesně vyhledat a určit, které signatury se budou podílet na kontrole a jak se systém zachová v případě nalezení shody. Snort používá rozdělení na útoky a citlivé služby (ftp, dns, backdoor, ddos, dos, pop2, netbios, smtp, snmp, telnet, atd.). Postup při správné údržbě IDS/IPS Snort by se dal shrnout do několika bodů: 1. Použít pravidla tak, jak byla definována od výrobce, popř. zahrnout nepoužitá pravidla. Akce při nalezení shody neměnit. 2. Nasadit zařízení do testovacího provozu. Poprvé je vhodné testovat IDS/IPS pomocí speciálního softwaru (Core Impact, IDS Wakeup). 3. Po „určitéÿ době, 7–14dní, provést kontrolu alert logů zařízení. 4. Podrobně se seznámit s narušeními, která se v provozu objevily. 5. Zhodnotit představující hrozbu pro síť a adekvátně předefinovat akce těch pravidel, které byly zaznamenány. Může také docházet k falešným poplachům vzhledem k velké citlivosti pravidla. Toto pravidlo je možné z kontroly odebrat, pokud se nejedná o závažnou hrozbu. Tento postup je potřeba po celou dobu nasazení IDS/IPS periodicky opakovat. Protože jen tak lze docílit správného odladění tohoto programu. Hlavním kritériem jsou samozřejmě pravidelně aktualizovaná pravidla.

4.2

Snort

32

Užitečné skripty Autor napsal pro usnadnění práce s programem Snort tři skripty, které byly použity v případové studii. Prvním skriptem je snort start.sh, který zajistí nastavení iptabels a spuštění programu Snort jako daemona při startu zařízení. Kód tohoto skriptu je: #!

/bin/bash

iptables -A INPUT -j QUEUE iptables -A FORWARD -j QUEUE /usr/local/bin/snort -QDc -c /usr/src/snort-2.8.6/etc/snort.conf -l /var/log/snort/alert # parametr -D spousti program jako daemona

Je nezbytné ještě v terminálu zadat: cp snort_start.sh /usr/src/snort-2.8.6/script/snort_start.sh ln -s /usr/src/snort-2.8.6/script/snort_start.sh /etc/rc2.d/S44snort_start.sh

Druhým skriptem je snort backup.sh, který provádí průběžnou zálohu alert logů. Tato záloha probíhá každých 30 minut a každý alert log soubor je opatřen časovou známkou. #!

/bin/bash

TIME=$(date ’+%d.%m._%Y_%H:%M:%S’_alert) BLINES=$(wc /etc/snort/backup/* | tail -1 | tr -s " " | cut -f2 -d" ") ALINES=$(wc /var/log/snort/alert | tr -s " " | cut -f2 -d" ") NUMBER=$(expr $ALINES - $BLINES) if [ $BLINES != "" ] then if [ $NUMBER -ne 0 ] then cat /var/log/snort/alert | tail -$NUMBER > /etc/snort/backup/$TIME fi else cat /var/log/snort/alert > /etc/snort/backup/$TIME fi

Zbývá už jen zařídit, aby se tento program spouštěl každých 30 minut, to nastavíme v programu cron. Do terminálu je nutné napsat: crontab

-e

Zde je nutné připsat následující řádek. */30

*

* * * /usr/src/snort-2.8.6/script/snort_backup.sh

4.2

Snort

33

Třetím skriptem je snort reader.sh, který je vhodný pro procházení zaznamenaných alert logů. Tento skript vhodně formátuje výpis pro zvýšení přehlednosti a umožňuje také vypsat k danému narušení podrobné informace. Obr. 8 zobrazuje vzhled alert logů přímo z programu Snort. Obr. 9 zobrazuje, jak vypadá výstup alert logů právě za použití skriptu. Tento skript byl napsán, protože na trhu žádný podobný program pro čtení alert logů z terminálu nebyl. Kód tohoto skriptu je velmi obsáhlý, proto je uveden v příloze D.

Obr. 8: Výpis alert logu zaznamenaného programem Snort. (Print Screen obrazovky terminálu).

4.2

Snort

34

Obr. 9: Výpis alert logů za použití skriptu snort reader.sh. (Print Screen obrazovky terminálu)

4.3

4.3

35

Cisco Router 2811

Cisco Router 2811

Zapojení zařízení Na obr. 10 je znázorněno zařízení Cisco 2811, jehož vlastnosti již byly popsány v části 3 Použité technologie. Bylo nakonfigurován pro naši modelovou firemní síť a byl na něm spuštěn IDS/IPS modul. Ve Síťové laboratoři ÚI PEF má tento Router označení R9.

OUTSIDE

Fa 0/0 193.1.1.1/24

PAT

DMZ

Cisco 2811 IOS IPS

Fa 0/1 10.0.50.1/30

Fa 0/0/0 VLAN97 10.0.97.1/24 VLAN10 192.168.10.1/24 VLAN20 192.168.20.1/24

INSIDE

Obr. 10: Router 2811 s IOS IPS.

Nastavení Routeru 2811 Podrobný popis konfigurace síťových rozhraní, statického routování, VLAN a PAT je v příloze E. V této kapitole bude popisována pouze konfigurace úzce související s IDS/IPS senzory. Nastavení IDS/IPS Pro možnost nastavení a spuštění IOS IPS je důležité přihlášení do SDM. Pro přístup do SDM musíme na Routeru nastavit ještě následující: Router9(config)# ip http server Router9(config)# ip http authentication local Router9(config)# username "jméno" privilege 15 password "heslo"

4.3

Cisco Router 2811

36

Nyní můžeme spustit program Cisco SDM pro správu Routeru 2811 (R9). Ještě než začneme s konfigurací IOS IPS, je vhodné si zkontrolovat v konfiguraci nastavení síťových rozhraní, jestli je vše nastaveno dle návrhu. Můžeme tedy přejít k samotnému spuštění průvodce pro nasazení IOS IPS. Průvodce spustíme v záložce Intrusion prevention stisknutím tlačítka ve spodní části obrazovky Launch IPS Rule Wizard.... Tato pomůcka umožnuje snadno uživateli definovat, na kterých rozhraních se budou daná pravidla aplikovat a v jakém směru (příchozí, odchozí). Dále můžeme zvolit sadu pravidel, které se mají uplatnit, neboli SDF (signatur definition file). Tyto sady musíme volit vzhledem k velikosti naší flash paměti 128 MB nebo 256 MB. Musíme také dbát na to jakou verzi signatur máme v plánu používat, 4.X nebo 5.X vzájemně jsou totiž nekompatibilní (jiný formát). Když se dostaneme na volbu rozhraní a toho, na jaký typ dat chceme aplikovat pravidla, viz orb. 11, zvolíme „globáníÿ nastavení a to tak, že zaškrtneme u všech rozhraní možnost inbound. Tím docílíme kompletní hloubkové kontroly všeho, co se objeví na našem Routeru.

Obr. 11: Volba interface pro kontrolu. (Print screen programu SDM)

4.3

Cisco Router 2811

37

Přejdeme na poslední část konfigurace a zkontrolujeme, jestli je vše správně nadefinováno. Nyní se můžeme zaměřit na editaci samotné IOS IPS. Menu pro editaci lze nalézt v konfiguraci u intrusion detection v záložce Edit IPS obr. 12. První z podsekcí editace je IPS Policies. Zde vidíme seznam rozhraní, nad kterými je prováděna kontrola a další informace o této kontrole, jestli se kontroluje inbound, outbound datový tok a VFR (Virtual Routing and Forwarding) povoleno/zakázáno.

Obr. 12: Definované politiky. (Print screen programu SDM) Ve spodní části je ke každému rozhraní dále doplněn seznam ACL (access control list), které určují kontrolovaný obsah (ACL je vhodné řešit u firewallu). Vše je zde možné editovat pro případ, že je potřeba pozměnit oblast kontroly IOS IPS. V založce Global Settings jsou údaje o syslogu, SDEE (Security Device Event Exchange), nastavení enginů a umístění signatur. Toto nastavení ponecháme defaultně nastaveno. Nejdůležitejší oblastní v nastavení IOS IPS je záložka Signatures jenž obsahuje souhrn všech pravidel, podle kterých bude probíhat kontrola síťového provozu. Na obr. 13 je vidět seznam kategorií pravidel od Cisca a dále pak podrobný popis signatur. Enable, které označuje, jestli se signatura používá pro konrolu, ID signatury, jméno signatury, akce, která se provede při shodě, závažnost a engine1 , v rámci, kterého je daná signatura využita. Možnosti chování v případě shody jsou alarm (ohlášení narušení), denyAttackerInline (vytvoří ACL, který zakazuje veškerý provoz od útočníka), denyFlowInline (vytvoří ACL zakazující provoz od útočníka, který obsahuje cílovou a zdrojovou IP a port, jako v případě narušení), drop (zahození nedůvěryhodného obsahu), reset (odešle reset spojení, popř. zahodí nedůvěryhodná data). 1

Enginy jsou souhrné balíčky signatur pro daný protokol nebo službu.

4.3

Cisco Router 2811

38

Obr. 13: Přehled signatur IOS IPS. (Print screen programu SDM) Nahlédnutí do zaznamenaných hrozeb IOS IPS lze provést v záložce Security Dashboard. Všechna pravidla lze rozdělit do několika hlavních kategorií podle toho, jakým útokem se zabývají. Díky tomuto rozdělení můžeme přesně vyhledat a určit, které signatury se budou podílet na kontrole a jak se systém zachová v případě nalezení shody. Cisco používá obecné rozdělení pravidel podle typu útoků a služeb, kterých se narušení týká (Adware/Spyware, DoS, Email, Instant Messanging, P2P, Viruses/Worms/Trojans, atd.). Od výrobce je vždy předem definováno, jaká pravidla se budou používat, jakým způsobem se systém zachová v případě shody a u pravidel, kde není jisté vysoké riziko pro síť, je nastaveno „alertÿ. Tato nastavení pravidel sama naznačují, že detekce založená na pravidlech není samoobslužný systém a je potřeba se mu aktivně věnovat.

4.3

Cisco Router 2811

39

Postup při konfiguraci IOS IPS by se dal shrnout do několika bodů: 1. Použít pravidla tak, jak byla definována od výrobce, popř. zahrnout nepoužitá pravidla. Akce při nalezení shody neměnit. 2. Nasadit zařízení do testovacího provozu. Poprvé je vhodné testovat IDS/IPS pomocí speciálního softwaru (Core Impact, IDS Wakeup). 3. Po „určitéÿ době, 7–14dní, provést kontrolu alert logů zařízení. 4. Podrobně se seznámit s narušeními, která se v provozu objevily. 5. Zhodnotit představující hrozbu pro síť a adekvátně předefinovat akce těch pravidel, které byly zaznamenány. Může také docházet k falešným poplachům vzhledem k velké citlivosti pravidla. Toto pravidlo je možné z kontroly odebrat, pokuď se nejedná o závažnou hrozbu. Tento postup je potřeba po celou dobu nasazení IDS/IPS periodicky opakovat. Protože jen tak lze docílit správného odladění těchto zařízení. Na obr. 14 je ukázán detail signatury. IOS IPS umožňuje vytvářet i signatury vlastní.

Obr. 14: Detail signatury IOS IPS. (Print screen programu SDM)

4.4

4.4

40

Cisco ASA 5510

Cisco ASA 5510

Zapojení zařízení Na obr. 15 je znázorněno zařízení Cisco ASA 5510 jehož vlastnosti již byly popsány v části 3 Použité technologie. Bylo nakonfigurováno pro naši modelovou firemní síť a byl na něm spuštěn modul AIP-SSM-10. Ve Síťové laboratoři ÚI PEF má Cisco ASA 5510 označení ASA 2.

OUTSIDE eth 0/0 193.1.1.1/24

eth 0/3 10.0.60.1/24

Cisco ASA 5510 DMZ

Management

eth 0/1 VLAN97 10.0.97.1/24 VLAN10 192.168.10.1/24 VLAN20 192.168.20.1/24

AIP‐SSM‐10

eth 0/2 10.0.50.1/30

INSIDE

Obr. 15: Zapojení Cisco ASA 5510 s AIP-SSM-10.

Nastavení Cisco ASA Nastavení Cisco ASA pro naší topologii (IPadresy, routovani, VLANy a NAT/PAT) a následné spuštění AIP-SSM je popsáno v příloze F. V této kapitole bude popisována pouze konfigurace úzce související s IDS/IPS senzory. Nastavení AIP-SSM-10 Pro nastavení a spuštění AIP-SSM-10 je důležité přihlášení do ASDM. Pro přístup do ASDM musíme na Routeru v konzoli nastavit ještě následující: ASA2(config)# http server enable ASA2(config)# http "IP address" "netmask" mgmt ASA2(config)# username "jméno" password "heslo" privilege 15

4.4

Cisco ASA 5510

41

Pro management zařízení ASA 5510 a AIP-SSM-10 přes počítač s ASDM je nezbytné zřídit separátní síť. Vhodný je počítač se dvěma síťovými kartami nebo switch. Management adresy u Cisco ASA, AIP-SSM modulu a počítače, kde bude spušten program ASDM, musí být být ve stejné podsíťi. Managment porty zařízení jsou označeny na obr. 16. Pro nastavení management IP adresy u AIP-SSM-10 postupujte takto: ASA2(config)# show modules pro zjištění slotu modulu a jeho stavu ASA2(config)# hw-module module "slot" reset spustí se znovunastavení modulu, včetně management IP adresy a defaultní gateway (nutné nastavit management IP adresu podsítě ASA management portu) ASA2(config)# show modules details pro ověření nastavení modulu

Obr. 16: Umístění management rozhraní. (Print screen programu ASDM) Nyní můžeme spustit program Cisco ASDM pro správu Cisco ASA 5510 (ASA2). Ještě než začneme s konfigurací AIP-SSM, je dobré si zkontrolovat v konfiguraci nastavení síťových rozhraní, jestli je vše nastaveno správně. Můžeme tedy přejít k samotnému spuštění průvodce pro nasazení AIP-SSM. Průvodce spustíme v záložce „IPSÿ stisknutím tlačítka ve spodní části obrazovky Launch Startup Wizard. Tato pomůcka umožnuje snadno uživateli definovat, na kterých rozhraních se budou kontroly provádět a jakým konkrétním způsobem. Jak již bylo popsáno v kapitole 3 Použité technologie AIP-SMM lze zapojit, jak v promiskuitním, tak inline režimu. Podrobnosti, jak lze nastavit kontrolu, lze vidět na obr 17. Volbou global zvolíme kontrolu na všech rozhraních.

4.4

Cisco ASA 5510

42

Obr. 17: Nastavení kontroly. (Print screen programu ASDM) Po potvrzení, lze pustit ve spodní části animaci datového toku, která se liší v tom, jestli jde o promiskuitní nebo inline mód (obr. 18).

Obr. 18: Tok dat v inline režimu. (Print screen programu ASDM)

4.4

Cisco ASA 5510

43

Nyní se zaměříme na samotné nastavení modulu. V konfiguraci jsou důležité tyto části: Summary je výpis všech rozhraní poskytujících možnost kontroly jejich umístění a přidělený virtuální senzor. IPS Policies je oblast, kde jsou definovány všechny virtuální senzory, jejich přidělení k rozhraní, používaná sada signatur a speciální pravidla událostí, které ponecháme defaultně nastavené na high risk (pravidla sloužící pro obecné nadefinování chování podle závažnosti zjištěných narušení). Signature Definitions je souhrný popis všech signatur. Defaultně je zde sada sig0, ale je zde oproti IOS IPS možnost vytváření vlastních sad signatur, které lze následně přidělit virtuálním senzorům (senzory, které lze přiřadit pro detekci na různých rozhraní, použitelné u IPS modulů, kde je více než jedno rozhraní pro kontrolu).

Obr. 19: Přehled signatur AIP-SSM. (Print screen programu ASDM) Na obr. 19 je vidět seznam kategorií pravidel od Cisca a dále pak podrobný popis signatur. Enable, které označuje, jestli se signatura používá pro kontrolu, ID signatury, jméno signatury, akce která se provede při shodě, závažnost, Base RR (risk rating hodnota pro konfiguraci speciálních pravidel událostí viz. IPS Policies) a Fidelity Rating, který udává pozitivní pravděpodobnost, že se jedná opravdu o oprávněné označení narušení (orientační hodnota v případě identifikace falešného poplachu, pravděpodobnost v procentech).

4.4

Cisco ASA 5510

44

Výčet možností, jak lze nastavit chování v případě nalezení shody, je oproti programům Snort a IOS IPS o něco větší jak lze vidět na obr. 20. Akce jsou zde rozděleny do tří kategorií. • Alert and Log Actions (akce vhodné zejména pro sledování) • Deny Actions (akce, které zasahují okamžitě, zapojení inline) • Other Actions (akce zasahující s prodlevou, promiskuitní zapojení)

Obr. 20: Výpis akcí při shodě. (Print screen programu ASDM) Nahlédnutí do vyhodnocených hrozeb AIP-SSM-10 lze v záložce Monitoring IPS. Od výrobce signatur je předem definováno, jaká pravidla se budou používat, jakým způsobem se systém zachová v případě shody a u pravidel, kde není jisté vysoké riziko pro síť, je nastaveno alert. Tato nastavení pravidel sama naznačují, že detekce založená na pravidlech není samoobslužný systém a je potřeba se mu aktivně věnovat. Postup při správné údržbě modulu AIP-SSM založené na pravidlech by se dal shrnout do několika bodů: 1. Použít pravidla tak, jak byla definována od výrobce, popř. zahrnout nepoužitá pravidla. Akce při nalezení shody neměnt. 2. Nasadit zařízení do testovacího provozu. Poprvé je vhodné testovat AIPSSM-10 pomocí speciálního softwaru (Core Impact, IDS Wakeup). 3. Po „určitéÿ době, 7–14dní, provést kontrolu alert logů zařízení. 4. Podrobně se seznámit s narušeními, která se v provozu objevily. 5. Zhodnotit představující hrozbu pro síť a adekvátně předefinovat akce těch pravidel, které byly zaznamenány. Může také docházet k falešným poplachům vzhledem k velké citlivosti pravidla. Toto pravidlo je možné z kontroly odebrat, pokuď se nejedná o závažnou hrozbu. Tento postup je potřeba po celou dobu nasazení AIP-SSM periodicky opakovat. Protože jen tak lze docílit správného odladění tohoto modulu. Na obr. 21 je zobrazen detail signatury. Znalosti útoků a struktury signatur jsou nezbytné v případě psaní vlastních pravidel pro AIP-SSM.

4.4

Cisco ASA 5510

Obr. 21: Detail signatury AIP-SSM. (Print screen programu ASDM)

45

5

46

EKONOMICKÉ ZHODNOCENÍ

5

Ekonomické zhodnocení

Z ekonomického hlediska bude projekt hodnocen pouze z pohledu nasazení IDS/IPS senzorů, nebudou tedy posuzovány ostatní zařízení v síti. Je vhodné náklady na tento projekt rozdělit do dvou částí. Počáteční náklady a náklady na provoz. Cena technického pracovníka pro všechny technologie je odhadnuta na 500,- Kč za hodinu.

5.1

Počáteční náklady

U počátečních nákladů spojených s hardwarem musíme u Snortu počítat všechny komponenty na složení PC, které bude sloužit následně jako router na němž bude Snort implementován. IOS IPS je poskytován k několika sériím zařízení od Cisco Systems. V tomto případě je zvoleno Cisco Router 2811-SEC/K9. AIP-SSM-10 jako modul ke svému provozu požaduje zařízení Cisco ASA z řady 5500. Pro ekonomické zhodnocení je vybráno zařízení Cisco ASA5510-AIP10-K9 (ASA 5510 + AIP-SSM-10).

Tab. 1: Počáteční náklady.

Linux router (Snort) Hardware 20 000,- Kč Software 0,- Kč Instalace 1500,- Kč (3 hod.) Celkem 21 500,- Kč

5.2

Router 2811-SEC/K9 ASA5510-AIP10-K9 (IOS IPS) (AIP-SSM-10) 52 000,- Kč 91 000,- Kč v ceně v ceně 500,- Kč (1 hod.) 500,- Kč (1 hod.) 52 500,- Kč 91 500,- Kč

Náklady na provoz

Do těchto nákladů budou zahrnuty náklady na průběžnou údržbu a kontrolu senzorů technickým pracovníkem a poplatky za licenci na aktualizaci pravidel.

Tab. 2: Náklady na provoz za jeden rok.

Snort IOS IPS AIP-SSM Údržba 30 000,- Kč 24 000,- Kč 24 000,- Kč (5×500 × 12) (4×500 × 12) (4×500 × 12) Licence 10 000,- Kč 21 000,- Kč 32 000,- Kč Celkem 40 000,- Kč 45 000,- Kč 56 000,- Kč

6

6

ZÁVĚR

47

Závěr

Cílem této práce bylo porovnat zařízení IDS/IPS, implementovat je v rámci případové studie do středně velké modelové sítě a ekonomicky zhodnotit. Tato práce neobsahuje pouze ukázku implementace těchto zařízení ve středně velké síti, ale popisuje také, jak tyto zařízení pracují, jak je vhodné je využívat a v čem spočívají jejich schopnosti. Zapojení všech řešení se obešlo bez komplikací a po otestování programem na testování narušení IDS Wakeup dosahovaly senzory uspokojivých výsledků. Bližší výsledky testů nejsou posuzovány, protože všechny senzory nebyly vybaveny nejnovějšími balíky signatur, ale pouze základními, což by mohlo vést k mylnému posouzení těchto zařízení z hlediska jejich schopností. Snort IDS/IPS je sice z hlediska první investice výhodnou volbou, ale nedisponuje tak přehledným a přívětivým GUI jako zařízení od společnosti Cisco. Jsou zde kladeny nároky na znalost operačních systémů Linux a jejich programů. Práce na odladění tohoto programu je zpravidla delší než u zařízení Cisco právě kvůli jeho „přehlednostiÿ. Ale to mu samozřejmě neubírá na kvalitě kontroly dat a v případě použití programových nadstaveb je možné odstranit i tento nedostatek. Tento systém je vhodné nasadit ve firmě, která není schopná investovat na počátku velké množství peněz do síťových zařízení. Modul AIP-SSM-10 je naproti tomu finančně náročnější záležitostí, tomu samozřejmě odpovídají také jeho možnosti nastavení. Velmi rozmanité a přehledné nastavení na tomto zařízení staví tento produkt mezi špičku v IDS/IPS systémech. Je vhodný pro společnosti, které preferují vysokou úroveň zabezpečení a jsou ochotny za ni zaplatit. Hlavní výhodou oproti ostatním zde zmíněným senzorům je právě to, že tento modul disponuje vlastním procesorem a operační pamětí. Tento modul spolu s Cisco ASA 5510 lze využít pro mnohem větší sítě a to řádově pro sítě se stovkami uživatelů. IOS IPS je zajímavým softwarovým řešením pro routery. Nabízí podobné možnosti jako Snort, ovšem v lepším grafickém provedení. Jeho cena jej staví na pozici velmi vhodné volby pro středně velkou počítačovou síť, pokud je firma schopna investovat do tohoto zařízení požadovanou sumu peněz. IDS/IPS systémy jsou zajisté zajímavou částí síťové bezpečnosti, která není bohužel více probíraná a co je horší, používaná, a proto autor doufá, že tato práce bude představovat hodnotný zdroj informací pro začínající správce a umožní jim základní orientaci v problematice.

7

7

LITERATURA

48

Literatura

Botoš, C. Seriál Vše o iptables [online], c1998–2010 [citováno 12.5.2010]. Dostupný z WWW: . Cisco IOS IPS Data Sheet [online], Cisco Systems, Inc., c1992–2010 [citováno 1.5.2010]. Dostupný z WWW: . Endorf, C., Schultz, E., Mellander, J. Detekce a prevence počítačového útoku. Grada, 2005. 356 s. ISBN 80-247-1035-8. Frahim, J., Santos, O. CiscoASA: All-in-one Firewall, IPS, and VPN Adaptive Security Appliance. Cisco Press, 2006. 798 s. ISBN 1-58705-209-1. Hucaby, C., McQuerry, S. Konfigurace směrovačů Cisco Computer Press, 2004. 632 s. ISBN 80-722-6951-8. Hutton, K., Schofield, M., Teare, D. Designing Cisco Network Service Architectures Cisco Press, 2009. 672 s. ISBN 978-1-58705-574-4. Northcutt, S., Zeltser, L., Winters, S., Frederick, K., Ritchey, R. Bezpečnost počítačových sítí Computer Press, 2005. 592 s. ISBN 80-251-06977. Scott, Ch., Wolfe, P., Hayes, B. Snort For Dummies Wiley, 2004. 353 s. ISBN 0-7645-6835-3. SNORT Users Manual [online], Sourcefire, Inc., c2003– 2010 [citováno 28.4.2010]. Dostupný z WWW: . The Sourcefire 3D System [online], Sourcefire, Inc., c2010 [citováno 4.4.2010]. Dostupný z WWW: . Thomas, T. Network security first-step Cisco Press, 2004. 407 s. ISBN 1-58720099-6. Watkins, M., Wallace, K. CCNA Security Official Exam Certification Guide (Exam 640-553). Cisco Press, 2008. 672 s. ISBN 80-8432-289-9. Wendell, O. Cisco CCNA Exam Certification Guide Cisco Press, 2000. 1019 s. ISBN 1-58720-055-4. Wenstrom, M. Zabezpečení sítí Cisco Computer Press, 2003. 753 s. ISBN 807226-952-6.

Přílohy

A

A

50

IOS IPS IMAGES

IOS IPS Images

Tab. 3: Seznam zařízení s IOS image, který podporuje IPS.

Série 800 1800

Produkt 871, 876, 877, 878 1801,1802,1803,1811,1812,1841, 1861

2800

2801, 2811,2821,2851

3800

3825,3845

SR520 SR520 7200

7204VXR, 7206VXR

7301

7301

Podporované IOS image Advanced IP Services Advanced Security Advanced Enterprise Advanced IP Services Advanced Security Advanced Enterprise Advanced IP Services Advanced Security Advanced Enterprise Advanced IP Services Advanced Security Advanced IP Services Advanced Security Advanced Enterprise Advanced IP Services Advanced Security Advanced Enterprise Advanced IP Services

B

B

KONFIGURACE OKOLNÍCH ZAŘÍZENÍ V SÍŤI

51

Konfigurace okolních zařízení v síťi

Router 8 (Cisco Router 2811) Podrobný popis konfigurace Routeru 8 přes terminál: Router8> enable Router8# configure terminal Router8(config)# ip acces-list 1 permit 172.16.99.0 0.0.0.255 vytvoření acces-listu, který zahrnuje všechny vnitřní adresy MANAGEMENTU Router8(config)# interface fa 0/1 Router8(config-if)# ip nat outside Router8(config-if)# ipadress 10.0.60.1 255.255.255.0 Router8(config-if)# no shutdown Router8(config-if)# exit Router8(config)# interface fa 0/0 Router8(config-if)# ip nat inside Router8(config-if)# ipadress 172.16.99.1 255.255.255.0 Router8(config-if)# no shutdown Router8(config-if)# exit nastavení rozhraní routeru, jejich IP adres a postavení pro NAT Router8(config)# ip nat inside source static tcp 172.16.99.6 389 interface fa 0/1 389 ukázka překladu paketů s cílovým portem pro konkrétní IP adresu a port serveru, nutné napsat pro všechny služby a servery Router8(config)# ip nat inside source list 1 interface fa 0/1 overload překlad všech síťových IP adres spadajících do daného acces-listu na IP adresu na rozhraní fa 0/1 Router8(config)# ip route 0.0.0.0 10.0.60.1 fa 0/1 příkaz pro statické směrování v síťi

B

KONFIGURACE OKOLNÍCH ZAŘÍZENÍ V SÍŤI

52

Switch 1, 2 (Cisco Catalyst 2960) Nastavení switche 1 a 2 se liší pouze v případě nastavení IP adresy v rámci VLANy 98 a přiřazení rozhraní switche do VLANy oddělení A nebo B. Podrobný popis konfigurace Switche 1 přes terminál: Switch1> enable Switch1# configure terminal Switch1(config)# vlan 30 Switch1(config-vlan)# name A Switch1(config-vlan)# exit Switch1(config)# vlan 40 Switch1(config-vlan)# name B Switch1(config-vlan)# exit Switch1(config)# vlan 98 Switch1(config-vlan)# name MANAGEMENT Switch1(config-vlan)# exit založení a popis VLAN Switch1(config)# interface gi 0/1 Switch1(config-if)# switchport mode trunk Switch1(config-if)# exit nadefinování rozhraní jako trunku Switch1(config)# interface vlan 98 Switch1(config-if)# ip address 10.0.98.2 255.255.255.0 Switch1(config-if)# ip default-gateway 10.0.98.1 Switch1(config-if)# exit přidělení IP adresy switchi pro management v dané virtuální podsíťi Switch1(config)# interface fa 0/1 Switch1(config-if)# switchport mode access Switch1(config-if)# switchport access vlan 30 Switch1(config-if)# exit zařazení rozhraní switche pro danou VLANu

B

KONFIGURACE OKOLNÍCH ZAŘÍZENÍ V SÍŤI

Switch 4 (Cisco Catalyst 2960) Podrobný popis konfigurace Switche 4 přes terminál: Switch4> enable Switch4# configure terminal Switch4(config)# vlan 10 Switch4(config-vlan)# name OSERVER Switch4(config-vlan)# exit Switch4(config)# vlan 20 Switch4(config-vlan)# name ISERVER Switch4(config-vlan)# exit Switch4(config)# vlan 97 Switch4(config-vlan)# name MANAGEMENT Switch4(config-vlan)# exit založení a popis VLAN Switch1(config)# interface gi 0/1 Switch1(config-if)# switchport mode trunk Switch1(config-if)# exit nadefinování rozhraní jako trunku Switch4(config)# interface vlan 97 Switch4(config-if)# ip address 10.0.97.2 255.255.255.0 Switch4(config-if)# ip default-gateway 10.0.97.1 Switch4(config-if)# exit přidělení IP adresy switchi pro management v dané virtuální podsíťi Switch4(config)# interface fa 0/1 Switch4(config-if)# switchport mode access Switch4(config-if)# switchport access vlan 10 Switch4(config-if)# exit Switch4(config)# interface fa 0/2 Switch4(config-if)# switchport mode access Switch4(config-if)# switchport access vlan 20 Switch4(config-if)# exit zařazení rozhraní switche pro danou VLANu

53

B

KONFIGURACE OKOLNÍCH ZAŘÍZENÍ V SÍŤI

Switch 5 (Cisco Catalyst 2960) Podrobný popis konfigurace Switche 5 přes terminál: Switch5> enable Switch5# configure terminal Switch5(config)# interface vlan 99 Switch5(config-if)# ip address 172.16.99.2 255.255.255.0 Switch5(config-if)# ip default-gateway 172.16.99.1 Switch5(config-if)# exit přidělení IP adresy switchi pro management Switch 9 (Cisco Catalyst 3750) Podrobný popis konfigurace Switche 9 přes terminál: Switch9> enable Switch9# configure terminal Switch9(config)# vlan 30 Switch9(config-vlan)# name A Switch9(config-vlan)# exit Switch9(config)# vlan 40 Switch9(config-vlan)# name B Switch9(config-vlan)# exit Switch9(config)# vlan 98 Switch9(config-vlan)# name MANAGEMENT Switch9(config-vlan)# exit založení a popis VLAN Switch9(config)# interface vlan 30 Switch9(config-if)# ip address 10.0.30.1 255.255.255.0 Switch9(config-if)# exit Switch9(config)# interface vlan 40 Switch9(config-if)# ip address 10.0.40.1 255.255.255.0 Switch9(config-if)# exit Switch9(config)# interface vlan 98 Switch9(config-if)# ip address 10.0.98.1 255.255.255.0 Switch9(config-if)# exit přidělení IP adresy switchi pro management a další VLANy

54

B

KONFIGURACE OKOLNÍCH ZAŘÍZENÍ V SÍŤI

Switch4(config)# interface gi 1/0/1 Switch4(config-if)# no switchport Switch4(config-if)# ip address 10.0.50.2 255.255.255.0 Switch4(config-if)# no shutdown Switch4(config-if)# exit Switch4(config)# interface fa 1/0/24 Switch4(config-if)# no switchport Switch4(config-if)# ip address 10.0.60.2 255.255.255.0 Switch4(config-if)# exit nastavení rozhraní pro point-to-point komunikaci s jiným zařízením v síťi Switch4(config)# interface fa 1/0/1 Switch4(config-if)# switchport trunk encapsulation dot1q Switch4(config-if)# exit Switch4(config)# interface fa 1/0/2 Switch4(config-if)# switchport trunk encapsulation dot1q Switch4(config-if)# exit zařazení rozhraní switche pro tagovanou komunikaci ip route 0.0.0.0 0.0.0.0 gi 1/0/1 příkaz pro statické směrování v síťi

55

C

C

KONFIGURACE LINUX ROUTERU

56

Konfigurace Linux routeru

Nastavení Linux routeru v terminálu: ifocnfig eth1 193.1.1.1/24 up ifocnfig eth2 up ifocnfig eth3 10.0.50.1/30 up nastavení rozhraní routeru, jejich IP adres modprobe 8021q vconfig add eth2 97 ifconfig eth2.97 10.0.97.1/24 vconfig add eth2 10 ifconfig eth2.10 192.168.10.1/24 vconfig add eth2 20 ifconfig eth2.20 192.168.20.1/24 nastavení VLAN

iptables -t nat - I PREROUTING -p tcp -i eth1 --dport 80 -j DNAT --to 192.168.10.3:80 ukázka překladu paketů s cílovým portem pro konkrétní IP adresu a port serveru, nutné napsat pro všechny služby a servery echo 1 > /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -o eth1 -j ACCEPT iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE překlad všech síťových IP adres na IP adresu rozhraní eth1 route add -net 0.0.0.0 netmask 0.0.0.0 dev eth1 route add -net 10.0.0.0 netmask 255.0.0.0 dev eth3 příkaz pro statické směrování v síťi

D

PROGRAM „SNORT ALERT READERÿ

D

57

Program „SNORT Alert readerÿ

#! /bin/bash clear echo -e "\e[1;31m~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\e[0m" echo -e "\e[1;31m| ,,_ ,,_ |\e[0m" echo -e ’\e[1;31m| o" )~ ... SNORT Alert reader ... o" )~ |\e[0m’ echo -e -n "\e[1;31m| ’’’’ \e[0m" echo -e -n "\e[0;31mby Jan Kejda\e[0m" echo -e "\e[1;31m ’’’’ |\e[0m" echo -e "\e[1;31m~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\e[0m" echo sleep 2 WHAT=$1 if [ -e

$WHAT ] && [ "$WHAT" != "" ]

then X=1 Y=$( wc $WHAT | tr -s " " | cut -f2 -d" " ) Y=$(expr $Y + 1 ) echo echo echo echo echo echo echo echo

-e -e -e -e -e -e

-n "\e[1;35mtime mark\e[0m" -n "\e[1;33m\tSID\e[0m" "\e[1;34m\t\t attack info\e[0m" -n "\e[1;31m\t\tpriority\e[0m" "\e[0;37m\t IP adress and port\e[0m" "\e[0;37m~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\e[0m"

while [ $X -lt $Y ]; do TIME=$( cat $WHAT | head -$X | tail -1 | tr -s "*" | tr -s " " | sed ’s/\([0-9]\{2\}\/[0-9]\{2\} \-[0-9]\{2\}\:[0-9]\{2\}\:[0-9]\{2\}\)\.[0-9]\{6\}.\[\*\].\[\([0-9]\{1,6\}\:[0-9]\{1,6\}\:[0-9]\ {1,6\}\)\]\(.*\)\[\*\].[][]\{0,1\}[a-zA-Z]\{0,14\}:\{0,1\}\([^][]*\)[][]\{0,1\}.*\[Priority:.\ ([0-9]\)\]\(.*\)/\\e[1;35m\1\\e[0m/g’ ) SID=$( cat $WHAT | head -$X | tail -1 | tr -s "*" | tr -s " " | sed ’s/\([0-9]\{2\}\/[0-9]\{2\} \-[0-9]\{2\}\:[0-9]\{2\}\:[0-9]\{2\}\)\.[0-9]\{6\}.\[\*\].\[\([0-9]\{1,6\}\:[0-9]\{1,6\}\:[0-9]\ {1,6\}\)\]\(.*\)\[\*\].[][]\{0,1\}[a-zA-Z]\{0,14\}:\{0,1\}\([^][]*\)[][]\{0,1\}.*\[Priority:.\ ([0-9]\)\]\(.*\)/\t\\e[1;33m< \2 >\\e[0m/g’ ) INFO=$( cat $WHAT | head -$X | tail -1 | tr -s "*" | tr -s " " | sed ’s/\([0-9]\{2\}\/[0-9]\{2\} \-[0-9]\{2\}\:[0-9]\{2\}\:[0-9]\{2\}\)\.[0-9]\{6\}.\[\*\].\[\([0-9]\{1,6\}\:[0-9]\{1,6\}\:[0-9]\ {1,6\}\)\]\(.*\)\[\*\].[][]\{0,1\}[a-zA-Z]\{0,14\}:\{0,1\}\([^][]*\)[][]\{0,1\}.*\[Priority:.\ ([0-9]\)\]\(.*\)/\t\\e[1;34m\3\\e[0m/g’ ) INFO2=$( cat $WHAT | head -$X | tail -1 | tr -s "*" | tr -s " " | sed ’s/\([0-9]\{2\}\/[0-9]\{2\} \-[0-9]\{2\}\:[0-9]\{2\}\:[0-9]\{2\}\)\.[0-9]\{6\}.\[\*\].\[\([0-9]\{1,6\}\:[0-9]\{1,6\}\:[0-9]\ {1,6\}\)\]\(.*\)\[\*\].[][]\{0,1\}[a-zA-Z]\{0,14\}:\{0,1\}\([^][]*\)[][]\{0,1\}.*\[Priority:.\ ([0-9]\)\]\(.*\)/\\e[0;34m\4\\e[0m/g’ ) PRIORITY=$( cat $WHAT | head -$X | tail -1 | tr -s "*" | tr -s " " | sed ’s/\([0-9]\{2\}\/[0-9]\ {2\}\-[0-9]\{2\}\:[0-9]\{2\}\:[0-9]\{2\}\)\.[0-9]\{6\}.\[\*\].\[\([0-9]\{1,6\}\:[0-9]\{1,6\}\: [0-9]\{1,6\}\)\]\(.*\)\[\*\].[][]\{0,1\}[a-zA-Z]\{0,14\}:\{0,1\}\([^][]*\)[][]\{0,1\}.*\[Priority: .\([0-9]\)\]\(.*\)/\t\t\\e[1;31m~ \5 ~\\e[0m/g’ ) IP=$( cat $WHAT | head -$X | tail -1 | tr -s "*" | tr -s " " | sed ’s/\([0-9]\{2\}\/[0-9]\{2\}\[0-9]\{2\}\:[0-9]\{2\}\:[0-9]\{2\}\)\.[0-9]\{6\}.\[\*\].\[\([0-9]\{1,6\}\:[0-9]\{1,6\}\:[0-9]\ {1,6\}\)\]\(.*\)\[\*\].[][]\{0,1\}[a-zA-Z]\{0,14\}:\{0,1\}\([^][]*\)[][]\{0,1\}.*\[Priority:.\ ([0-9]\)\]\(.*\)/\t\t\\e[0;37m\6\\e[0m/g’ )

D

PROGRAM „SNORT ALERT READERÿ

echo echo echo echo echo echo echo echo

-e -e -e -e -e -e

-n "$TIME" -n "$SID" -n "$INFO" "$INFO2" -n "$PRIORITY" "$IP"

X=$(expr $X + 1) done while [ "$MORE" != "exit" ]; do echo -e -n "\e[1;31mFor more information enter SID: \e[0m" read MORE if [ -e /etc/snort/signatures/$MORE.txt ] then echo echo -e "\e[0;37m~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\e[0m" echo -e "\e[0;32m" cat /etc/snort/signatures/$MORE.txt echo -e "\e[0m" echo -e "\e[0;37m~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~\e[0m" echo else if [ "$MORE" != "exit" ] then echo -e "\e[0;31m~ you have entered wrong SID ~\e[0m" else clear fi fi done else echo -e "\e[1;31mPlease fill in way to alert log !\e[0m" fi

58

E

E

KONFIGURACE CISCO ROUTERU 2811

59

Konfigurace Cisco Routeru 2811

Příloha bude součástí těchto bakalářských prací z důvodu společné Analýzy sítě: • Filla M. Realizace firemního firewallu s použitím Cisco technologií. Bakalářská práce. Brno, 2010. • Kejda J. Integrace IDS/IPS systému na bázi open source a komerčních technologií. Bakalářská práce. Brno, 2010. Router9> enable Router9# configure terminal Router9(config)# ip acces-list 1 permit 0.0.0.0 255.255.255.255 vytvoření acces-listu, který zahrnuje všechny vnitřní adresy sítě Router9(config)# interface fa 0/1 Router9(config-if)# ip nat inside Router9(config-if)# ipadress 10.0.50.1 255.255.255.0 Router9(config-if)# no shutdown Router9(config-if)# exit Router9(config)# interface fa 0/0 Router9(config-if)# ip nat outside Router9(config-if)# ipadress 193.1.1.1 255.255.255.0 Router9(config-if)# no shutdown Router9(config-if)# exit Router9(config)# interface fa 0/0/0 Router9(config-if)# ip nat inside Router9(config-if)# ipadress 10.0.97.1 255.255.255.0 Router9(config-if)# no shutdown Router9(config-if)# exit Router9(config)# interface fa 0/0/0.10 Router9(config-if)# ip nat inside Router9(config-if)# ipadress 192.168.10.1 255.255.255.0 Router9(config-if)# no shutdown Router9(config-if)# exit Router9(config)# interface fa 0/0/0.20 Router9(config-if)# ip nat inside Router9(config-if)# ipadress 192.168.20.1 255.255.255.0 Router9(config-if)# no shutdown Router9(config-if)# exit

E

KONFIGURACE CISCO ROUTERU 2811

60

nastavení rozhraní routeru, jejich IP adres a postavení pro NAT

Router9(config)# ip nat inside source static tcp 192.168.10.3 80 interface fa 0/0 80 ukázka překladu paketů s cílovým portem pro konkrétní IP adresu a port serveru, nutné napsat pro všechny služby a servery Router9(config)# ip nat inside source list 1 interface fa 0/0 overload překlad všech síťových IP adres spadajících do daného acces-listu na IP adresu na rozhraní fa 0/1 Router9(config)# ip route 0.0.0.0 0.0.0.0 fa 0/0 Router9(config)# ip route 10.0.0.0 255.0.0.0 fa 0/1 příkaz pro statické směrování v síťi

F

F

KONFIGURACE CISCO ASA 5510

61

Konfigurace Cisco ASA 5510

Příloha bude součástí těchto bakalářských prací z důvodu společné Analýzy sítě: • Filla M. Realizace firemního firewallu s použitím Cisco technologií. Bakalářská práce. Brno, 2010. • Kejda J. Integrace IDS/IPS systému na bázi open source a komerčních technologií. Bakalářská práce. Brno, 2010. ASA2> enable ASA2# configure terminal ASA2(config)# interface eth 0/0 ASA2(config-if)# nameif OUTSIDE ASA2(config-if)# ipadress 193.1.1.1 255.255.255.0 ASA2(config-if)# security-level 0 ASA2(config-if)# no shutdown ASA2(config-if)# exit ASA2(config)# interface eth 0/1 ASA2(config-if)# nameif DMZ ASA2(config-if)# ipadress 10.0.97.1 255.255.255.0 ASA2(config-if)# security-level 80 ASA2(config-if)# no shutdown ASA2(config-if)# exit ASA2(config)# interface eth 0/1.10 ASA2(config-if)# vlan 10 ASA2(config-if)# nameif VLAN10 ASA2(config-if)# ipadress 192.168.10.1 255.255.255.0 ASA2(config-if)# security-level 80 ASA2(config-if)# no shutdown ASA2(config-if)# exit ASA2(config)# interface eth 0/1.20 ASA2(config-if)# vlan 20 ASA2(config-if)# nameif VLAN20 ASA2(config-if)# ipadress 192.168.20.1 255.255.255.0 ASA2(config-if)# security-level 80 ASA2(config-if)# no shutdown ASA2(config-if)# exit ASA2(config)# interface eth 0/2 ASA2(config-if)# nameif USERS

F

KONFIGURACE CISCO ASA 5510

ASA2(config-if)# ASA2(config-if)# ASA2(config-if)# ASA2(config-if)#

62

ipadress 10.0.50.1 255.255.255.0 security-level 80 no shutdown exit

ASA2(config)# interface eth 0/3 ASA2(config-if)# nameif MANAGEMENT ASA2(config-if)# ipadress 10.0.60.1 255.255.255.0 ASA2(config-if)# security-level 100 ASA2(config-if)# no shutdown ASA2(config-if)# exit nastavení rozhraní routeru, jejich IP adres a jmen pro NAT ASA2(config)# static inside tcp interface Ethernet0/1 www 192.168.10.3 www 255.255.255.0 ukázka překladu paketů s cílovým portem pro konkrétní IP adresu a port serveru, nutné napsat pro všechny služby a servery ASA2(config)# nat (DMZ, VLAN10, VLAN20, USERS, MANAGEMENT) 1 0.0.0.0 0.0.0.0 ASA2(config)# global (OUTSIDE) 1 193.1.1.1 překlad všech síťových IP adres všech vnitřních rozhraní na IP adresu na rozhraní eth 0/1 ASA2(config)# route eth 0/0 0.0.0.0 0.0.0.0 ASA2(config)# route eth 0/2 10.0.0.0 255.0.0.0 příkaz pro statické směrování v síťi