Narzędzia wykrywania ataków na systemy komputerowe DNWA UI0

(1)

Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle

Narzędzia wykrywania ataków na systemy komputerowe DNWA UI0

Marcin Gogolewski marcing@wmi.amu.edu.pl

Uniwersytet im. Adama Mickiewicza w Poznaniu

Poznań, 20 października 2020

(2)

Dyżury Wtorki: 12:00-13:00,

Kontakt e-mail: marcing@wmi.amu.edu.pl Pokój B0-15, Collegium Mathematicum,

ul. Umultowska 87 Zaliczenie zadania na ćwiczeniach

Dodatkowe punkty za zadania dodatkowe (jeżeli się pojawią), ew. za znalezione błędy Strona WWW http://marcing.faculty.wmi.amu.edu.pl/DNWA

(3)

Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Przegląd

Problemy

Czy jest bezpiecznie?

Przed czym można się chronić?

Dlaczego firewall nie wystarczy?

Czy można zaatakować firewall?

Systemy aktywne i pasywne – ograniczenia

(4)

Protokół TCP/IP

1 Podział na warstwy

2 Algorytmy w poszczególnych warstwach

3 Słabości protokołu

4 Znane wcześniejsze problemy

5 Ograniczenia poszczególnych wersji

6 Protokoły wyższych warstw

7 . . .

(5)

Problemy z filtrowaniem ruchu

1 Wprowadzane opóźnienia (w przypadku IPS)

2 Lokalizacja „sensorów”

3 Szyfrowanie danych

4 Trudność z ustaleniem ogólnego wzorca ataku

5 . . .

(6)

IPS/IDS a inne zabezpieczenia

Programy antywirusowe Firewalle

(7)

Uwaga!

Oprogramowanie IPS ma mieć jedynie funkcję wspomagającą. Każdy system powinien bez problemu działać w „normalnych warunkach” (tzn. przez większość czasu),

a w przypadku wykrycia zagrożenia należy przede wszystkim usunąć jego przyczynę!

Ostatnia deska ratunku

W przypadku przestarzałych systemów (tzn. bez wsparcia twórcy i bez możliwości zamiany na nowszy) rolę „aktualizacji” może spełniać odpowiednio skonfigurowany firewall.

(8)

Uwaga! (2)

Nazewnictwo

W dalszej części nazwa IDS będzie odnosiła się do systemów pasywnych (nie wyklucza to automatyki w konfiguracji np. firewall’a), a IPS do aktywnych (mogą zatrzymać pierwszy pakiet ataku). W źródłach zewnętrznych należy uważać (brak ustalonej terminologii). Np. używane jest określenie IDPS (z grubsza to samo co IPS). Jeżeli nasze rozważania wyjdą poza systemy sieciowe, to zostanie to zaznaczone.

(9)

Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Systemy pasywne

Intrusion Detection System (vs. IPS)

łatwiejsze w instalacji

bezpieczniejsze w przypadku błędów konfiguracji nie modyfikują danych (!)

informują o zdarzeniu po fakcie

(10)

Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Systemy aktywne

Intrusion Prevention System

reguły muszą być dokładniejsze

skutki błędu konfiguracji mogą być poważniejsze niż udanego ataku wprowadzają opóźnienie w przesłaniu pakietu

stanowią jedyny sposób zablokowania niektórych ataków

Uwaga: istnieją systemy „pośrednie”, które modyfikują reguły firewall’a po zaobserwowaniu ataku. Są to tzw. systemy aktywnego przeciwdziałania.

(11)

Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Problemy z zabezpieczeniami

Niebezpieczne zabezpieczenia

Uwaga

Podstawowym celem większości systemów jest ich dostępność, zatem należy ostrożnie używać metod mogących zablokować uprawniony ruch (taki jest obecnie cel większości ataków!). Bezwzględnie należy zapewnić sobie dostęp do systemu, a także dostęp systemu do niezbędnych zasobów (DNS, serwer bazy danych, etc.). Czasami dobrym rozwiązaniem są białe listy (nadal kontrolujemy, ale nie blokujemy trwale).

(12)

Ukrywanie

Im mniej atakujący wie o systemie, tym lepiej. O istnieniu IPS wiedzieć nie powinien (a o IDS jak najbardziej)! W jaki sposób ukryć taki system?

Uwaga

Chodzi nie tyle o to, by atakujący nie wiedział o istnieniu systemu, a o to, by nie mógł go analizować.

(13)

Ukrywanie istnienia IDS

Co może zdradzić istnienie?

Odpowiedź na ping Inne komunikaty ICMP protokół ARP (arping)

Błąd w konfiguracji (np. portu SPAN)

Komunikacja pomiędzy „sensorem” a serwerem zarządzającym itp.

Jak ukryć

„wyciszyć” system (tryb stealth – uwaga: niezgodny ze standardem) oddzielić sieć monitorującą (co najmniej inny VLAN)

(14)

Ukrywanie IPS

Można stosować metody ukrywania firewalli (np. odpowiadać zgodnie z protokołem tak, jakby to system docelowy np. odrzucał połączenie – ICMP Port Unreachable, TCP RST, z adresu systemu docelowego). Uwaga: pakiety muszą być „podobne” (domyślne opcje, TTL, . . . ).

W miarę możliwości nie modyfikować/nie wysyłać pakietów wracających do atakującego. Uwaga: modyfikacja danych może być niezgodna z prawem. . .

Ograniczyć opóźnienia.

(15)

Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Protokół ICMP

ICMP – typy

0 echo reply (oryginalny ping)

2 destination unreachable (16 odmian)

4 wygaszenie źródła (przestarzały, ale może być obsługiwany) 5 przekierowanie (4 odmiany)

8 echo request (oryginalny ping) 9-10 związane z routingiem

11 przekroczony czas (2 odmiany: TTL i defragmentacja) 12 błąd w nagłówku IP (3 odmiany, w tym błędna długość) 13-14 timestamp (np. do synchronizacji czasu)

40 Photuris (eksperymentalne, błędy związane z kompresją i szyfrowaniem, rfc2521)

(16)

ICMP – nagłówek

8 bitów typ 8 bitów kod

16 bitów suma kontrolna 32 bity zależne od typu i kodu

? dowolne dane do rozmiaru całego pakietu IP! (kanał podprogowy, przepełnienia bufora)

(17)

ICMP – kody (odmiany)

Destination Unreachable 0 network

1 host 2 protocol 3 port

4 konieczna fragmentacja (a zabroniona) 6 nieznana sieć docelowa

7 nieznany host docelowy

9-10 „administracyjne” zamknięcie sieci/hosta 11-12 sieć/host niedostępny dla tego rodzaju TOS

(18)

Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Rodzaje

Rodzaje firewalli

filtr pakietów (stateless) stateful firewall

proxy

deep packet inspection (*)