Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle
Narzędzia wykrywania ataków na systemy komputerowe DNWA UI0
Marcin Gogolewski marcing@wmi.amu.edu.pl
Uniwersytet im. Adama Mickiewicza w Poznaniu
Poznań, 20 października 2020
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle
Dyżury Wtorki: 12:00-13:00,
Kontakt e-mail: marcing@wmi.amu.edu.pl Pokój B0-15, Collegium Mathematicum,
ul. Umultowska 87 Zaliczenie zadania na ćwiczeniach
Dodatkowe punkty za zadania dodatkowe (jeżeli się pojawią), ew. za znalezione błędy Strona WWW http://marcing.faculty.wmi.amu.edu.pl/DNWA
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Przegląd
Problemy
Czy jest bezpiecznie?
Przed czym można się chronić?
Dlaczego firewall nie wystarczy?
Czy można zaatakować firewall?
Systemy aktywne i pasywne – ograniczenia
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Przegląd
Protokół TCP/IP
1 Podział na warstwy
2 Algorytmy w poszczególnych warstwach
3 Słabości protokołu
4 Znane wcześniejsze problemy
5 Ograniczenia poszczególnych wersji
6 Protokoły wyższych warstw
7 . . .
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Przegląd
Problemy z filtrowaniem ruchu
1 Wprowadzane opóźnienia (w przypadku IPS)
2 Lokalizacja „sensorów”
3 Szyfrowanie danych
4 Trudność z ustaleniem ogólnego wzorca ataku
5 . . .
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Przegląd
IPS/IDS a inne zabezpieczenia
Programy antywirusowe Firewalle
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle
Uwaga!
Oprogramowanie IPS ma mieć jedynie funkcję wspomagającą. Każdy system powinien bez problemu działać w „normalnych warunkach” (tzn. przez większość czasu),
a w przypadku wykrycia zagrożenia należy przede wszystkim usunąć jego przyczynę!
Ostatnia deska ratunku
W przypadku przestarzałych systemów (tzn. bez wsparcia twórcy i bez możliwości zamiany na nowszy) rolę „aktualizacji” może spełniać odpowiednio skonfigurowany firewall.
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle
Uwaga! (2)
Nazewnictwo
W dalszej części nazwa IDS będzie odnosiła się do systemów pasywnych (nie wyklucza to automatyki w konfiguracji np. firewall’a), a IPS do aktywnych (mogą zatrzymać pierwszy pakiet ataku). W źródłach zewnętrznych należy uważać (brak ustalonej terminologii). Np. używane jest określenie IDPS (z grubsza to samo co IPS). Jeżeli nasze rozważania wyjdą poza systemy sieciowe, to zostanie to zaznaczone.
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Systemy pasywne
Intrusion Detection System (vs. IPS)
łatwiejsze w instalacji
bezpieczniejsze w przypadku błędów konfiguracji nie modyfikują danych (!)
informują o zdarzeniu po fakcie
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Systemy aktywne
Intrusion Prevention System
reguły muszą być dokładniejsze
skutki błędu konfiguracji mogą być poważniejsze niż udanego ataku wprowadzają opóźnienie w przesłaniu pakietu
stanowią jedyny sposób zablokowania niektórych ataków
Uwaga: istnieją systemy „pośrednie”, które modyfikują reguły firewall’a po zaobserwowaniu ataku. Są to tzw. systemy aktywnego przeciwdziałania.
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Problemy z zabezpieczeniami
Niebezpieczne zabezpieczenia
Uwaga
Podstawowym celem większości systemów jest ich dostępność, zatem należy ostrożnie używać metod mogących zablokować uprawniony ruch (taki jest obecnie cel większości ataków!). Bezwzględnie należy zapewnić sobie dostęp do systemu, a także dostęp systemu do niezbędnych zasobów (DNS, serwer bazy danych, etc.). Czasami dobrym rozwiązaniem są białe listy (nadal kontrolujemy, ale nie blokujemy trwale).
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Problemy z zabezpieczeniami
Ukrywanie
Im mniej atakujący wie o systemie, tym lepiej. O istnieniu IPS wiedzieć nie powinien (a o IDS jak najbardziej)! W jaki sposób ukryć taki system?
Uwaga
Chodzi nie tyle o to, by atakujący nie wiedział o istnieniu systemu, a o to, by nie mógł go analizować.
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Problemy z zabezpieczeniami
Ukrywanie istnienia IDS
Co może zdradzić istnienie?
Odpowiedź na ping Inne komunikaty ICMP protokół ARP (arping)
Błąd w konfiguracji (np. portu SPAN)
Komunikacja pomiędzy „sensorem” a serwerem zarządzającym itp.
Jak ukryć
„wyciszyć” system (tryb stealth – uwaga: niezgodny ze standardem) oddzielić sieć monitorującą (co najmniej inny VLAN)
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Problemy z zabezpieczeniami
Ukrywanie IPS
Można stosować metody ukrywania firewalli (np. odpowiadać zgodnie z protokołem tak, jakby to system docelowy np. odrzucał połączenie – ICMP Port Unreachable, TCP RST, z adresu systemu docelowego). Uwaga: pakiety muszą być „podobne” (domyślne opcje, TTL, . . . ).
W miarę możliwości nie modyfikować/nie wysyłać pakietów wracających do atakującego. Uwaga: modyfikacja danych może być niezgodna z prawem. . .
Ograniczyć opóźnienia.
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Protokół ICMP
ICMP – typy
0 echo reply (oryginalny ping)
2 destination unreachable (16 odmian)
4 wygaszenie źródła (przestarzały, ale może być obsługiwany) 5 przekierowanie (4 odmiany)
8 echo request (oryginalny ping) 9-10 związane z routingiem
11 przekroczony czas (2 odmiany: TTL i defragmentacja) 12 błąd w nagłówku IP (3 odmiany, w tym błędna długość) 13-14 timestamp (np. do synchronizacji czasu)
40 Photuris (eksperymentalne, błędy związane z kompresją i szyfrowaniem, rfc2521)
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Protokół ICMP
ICMP – nagłówek
8 bitów typ 8 bitów kod
16 bitów suma kontrolna 32 bity zależne od typu i kodu
? dowolne dane do rozmiaru całego pakietu IP! (kanał podprogowy, przepełnienia bufora)
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Protokół ICMP
ICMP – kody (odmiany)
Destination Unreachable 0 network
1 host 2 protocol 3 port
4 konieczna fragmentacja (a zabroniona) 6 nieznana sieć docelowa
7 nieznany host docelowy
9-10 „administracyjne” zamknięcie sieci/hosta 11-12 sieć/host niedostępny dla tego rodzaju TOS
Dyżury, etc. Wprowadzenie Uwagi Rodzaje ochrony Firewalle Rodzaje
Rodzaje firewalli
filtr pakietów (stateless) stateful firewall
proxy
deep packet inspection (*)