Bakalářská práce

Bakalářská práce
Možnosti použití programu pro detekci průniků BlackICE
Martin Zedníček, jarní semestr 2001
Úvod
Zadání projektu
Zaměření produktu
Analýza produktu
Složení produktu
Jak to funguje
Praxe a srovnání s obdobnými produkty
Co na to profesionálové
Výsledky a zkušenosti z vlastního testování
Závěr
Zhodnocení
Doporučené oblasti nasazení
Dodatek
Testy
Použité zdroje
Copyrights
v Úvod
Zadání projektu
„Zadáním projektu je seznámit se s produktem pro detekci průniků BlackIce od společnosti
Network Ice Corp., popsat jeho funkce a zhodnotit možný přínos pro zvýšení bezpečnosti.
Produkt je již zkušebně provozován na ÚVT MU.“
Zaměření produktu
V dnešní době, kdy proti sobě na Síti stojí bezpečnostní administrátoři a hackeři, proti
každému antivirovému vyhledávači se objeví nový trojský kůň a podniky musí utrácet peníze
za firewally, které okolo privátní sítě vytváří silné opevnění, stejně se zde dokáže najít
skulinka, kudy dokáže nepřítel proniknout. Najdeme ji u externích pracovníků, kteří pracují
mimo firemní prostory a zabezpečené systémy, leckdy bývají staticky připojeni i několik dní
v kuse, aniž by využívali zabezpečení běžné na VPN (Virtuálních Privátních Sítích), nebo je
skryta v noteboocích zaměstnanců, kteří si nehledí bezpečnosti tak, jak by si to přáli
administrátoři. Vyjímkou nejsou ani útoky insiderů, kteří mají přístup k prakticky
nechráněným počítačům a dostanou se k citlivým informacím. Zevnitř lze také spustit
jednoduché DoS (Denial of Service) útoky na důležité servery. Zde je nebezpečí ještě větší,
poněvadž insideři jsou již uvnitř - tedy za firewallem.
Proto vznikly centrálně spravované osobní firewally, pomáhající udržet LAN i jednotlivé
počítače v bezpečí. Jedním z nich je právě program pro detekci průniků BlackICE od
společnosti Network Ice Corp. Neměli bychom ho chápat jako čistý firewall, poněvadž právě
schopnost zabránit výše uvedeným problémům, se kterými si klasický firewall orientovaný
především jako ochranná hráz proti vnějšímu světu nedokáže poradit, ho vyčleňuje ze skupiny
klasických firewallů. Avšak může být tak chápán a zpravidla je takto označován.
v Analýza produktu
Složení produktu
Celek se skládá z několika samostatných programů, které jsou však se sebou různě provázány,
doplňují se a měly by tvořit stěží proniknutelnou hráz proti útočníkům.
BlackICE Agent Workstation – určený pro instalaci na všech stanicích ve vaší síti. Dává
každému počítači možnost detekovat a blokovat hackery lokálně, zatím co podává zprávu
ICEcap serveru k rozsáhlé bezpečnostní analýze.
BlackICE Agent Server – doporučený pro instalaci na webové, souborové a databázové
servery. Zprostředkovává detekci průniků a ochranný mechanismus optimalizovaný pro
systémy zpřístupněné mnoha různým uživatelům. Navíc ke zmiňovaným reportům útoků pro
ICEcap přidává zprávu o stavu TCP a UDP portů a místním systému.
BlackICE Sentry – umožňuje real-time
odposlech pro detekci průniků pro celou síť.
Je ideální pro doložení útoků a monitoring
nechráněných zařízení, jako jsou třeba
tiskové servery. Jeho výkonný mechanismus
dekódování paketů umožňuje detekovat
útoky také při plně zatížené 100Mbps síti.
BlackICE Guard – je vhodný pro oblasti
sítě, které jsou obzvláště v ohrožení.
Funguje jako „hacker filter“. Komunikace
od hackerů jsou identifikovány, reportovány
ICEcapu, a pokud je to nutné, tak
zablokovány.
ICEcap – hlavní častí celého produktu.
Shromažďuje data o průnicích a provozu ze
všech instalací na vaší síti. Data jsou
shromažďována pro hloubkovou analýzu
bezpečnosti sítě. Může také distribuovat
BlackICE software a řídit veškeré zabezpečení a
nastavení agentů a jednotlivých složek.
InstallPac – plně zpřístupňuje instalační,
odinstalační a upgradovací možnosti starající se
o různé metody distribuce BlackICE agentů.
Jak to funguje
Prakticky to funguje takto – na každý klientský počítač nainstalujeme BlackICE agenta.
Tito agenti pak provádějí funkce firewallu a odesílají stavové reporty. Zároveň back-end
server udržuje databázi pokusů o vniknutí a distribuuje nové soubory bezpečnostní politiky.
Řídící server ICEpac pak také vytváří skupiny a informační výstupy na základě IP adres.
V reportovací výbavě lze každé události v každé skupině přiřadit určitou prioritu. Alarm se
spustí, jakmile nastane událost překračující stanovenou mez. Můžete například skenování
portů přiřadit vyšší prioritu na serverech, ale nižší na laptopech. Když alarm skončí, zůstane
zobrazeno IP nebo NetBIOS jméno útočníka a příčina alarmu. Software se dokonce pokusí
zjistit DNS jméno hackera pro všechny útoky krom DoS, které mívají falešné hlavičky IP.
Rozhraní řídícího softwaru je webový prohlížeč. Informační výstup můžete třídit podle
hostitele útočníka nebo oběti; podle priority nebo druhu útoku, času a skupiny. Pokud
klepnete na jméno hostitele útočníka, zobrazí se všechny jeho útoky zaznamenané ve vaší
databázi. Jasně je zobrazena příčina alarmu a klepnutím na tento popis získáte podrobnější
informace o dotyčném druhu útoku. Produkt je také vybaven užitečným „tlumičem“ událostí,
který vám umožňuje nastavit maximální dobu mezi událostmi, do jejíhož překročení mají být
považovány za jedinou událost. Takže pokud například po jednom pingu za dvě minuty
následuje další, software je může považovat za jedinou událost. Tato vlastnost se hodí, pokud
máte co do činění s opakovanými útoky. Odesílání událostí z klientů probíhá v reálném čase,
stejně jako reportování na řídící stanici. Je možné nastavit reakci na událost , buď pagerem,
emailem nebo síťovým broadcastem.
Schéma zabezpečení produktem
BlackIce:
Zde je stručný náhled na architekturu BlackIce:
Co na to profesionálové
Test BlackICE Sentry od MIER Communications Inc.
Byly zde testovány mimo BlackICE Sentry produkty Axent´s NetPowler a ISS RealSecure
Network Sensor. Hlavní úkolem testu bylo vyzkoušet detekci a schopnost reportu útoků, či
pochybné aktivity proti hostiteli daného zabezpečovacího systému. Testy byly zaměřeny na
posouzení, jak efektivně každý z produktů zastává svou funkci a také, jak se každý vyrovnává
s typickým stresovým zatížením v reálném světě vysokorychlostních sítí.
BlackICE Sentry předčil RealSecure a NetProwler produkty ve všech dílčích testech a ukázal
se být spolehlivým systémem po celou dobu testování.
Test BlackICE Agent od MIER Communications Inc.
Středem pozornosti tentokráte byla míra vlivu na výkon běžícího Web-serveru
s nainstalovaným BlackICE Agentem. Způsob a metodu, na které jsou testy založeny, vyvinul
MierComms. Výsledkem bylo rozhodnutí, že běžící BlackICE Agent nemá žádný vliv na
schopnost webového serveru zpracovávat HTTP přístupy a TCP spojení. Nad to byl Webserver po dobu nainstalování BlackICE Agenta chráněn před přetížením CPU. Testy ukázaly,
že BlackICE Agent má nepatrný vliv na výkon serverů.
Poněvadž
zde se jedná o velice profesionální, důkladné a
precizní testovámí,
vykorespondoval jsem si povolení od MIER Communications jej zde použít jako přílohu.
Podrobný výpis najdete v Dodatku v části Testy.
Test časopisu Network Computing
Testovaly a srovnávaly se 4 podobné produkty od firem F-Secure Corp., InfoExpress,
Sybergen Networks a samozřejmě NetworkICE Corp..
Krátké shrnutí výsledků testu:
„Nejširší řídící schopnosti mají firewally firem InfoExpress a F-Secure, tyto programy
umožňují nejsnáze modifikovat pravidla a omezení určitých uživatelů. Balík firmy
NetworkICE odvádí nejlepší práci při informování o útocích a firewall Sybergen poskytuje
největší flexibilitu při nastavování kontroly klientů. Samotné osobní firewally pro ochranu
nestačí – podařilo se skrz ně dostat dovnitř trojského koně.
Dostat trojského koně na něčí počítač není nic těžkého, stačí e-mailem poslat nějakou
„ptákovinku“ pro zasmátí nebo se subjektem „I love you“. Z diskety lze trojského koně nahrát
během polední pauzy či po práci za 20 vteřin. Kolik zaměstnanců ve většině firem zamkne
svou stanici při odchodu do jídelny? A ve všech testech i s jediným otevřeným portem se nám
podařilo ovládnout počítač pomocí Back Orifice.“
Takže je doporučení tyto produkty užívat zároveň s účinnými bezpečnostními opatřeními a
antivirovým softwarem.
K produktu BlackICE konkrétně:
„Největší pochvalu si klient zaslouží za skvělou schopnost detekovat trojské koně i jiné druhy
útoků na uzavřených i otevřených portech. Přitom ICEcap manager má nejlepší reportovací
funkce ze všech testovaných produktů. Tento databázový program na centrální správu umí
spolupracovat s databázemi Microsoft SQL Workstation 6.5, SQL Server 7.0 nebo Access 97.
Jasná obrazovka programu ICEcap poskytuje spoustu informací o různých druzích útoků.
Avšak zbytek jeho uživatelského rozhraní je obtížnější na používání. Řídící server vytváří
skupiny a informační výstupy na základě IP adres, takže se víc hodí do prostředí uzavřené
podnikové sítě“.
Test serveru Security Portal
Kriteria testu: efektivita bezpečnostní ochrany (průniky, trojští koně, controlling leaks,
Denial-of-service) a detekce pronikání (malé množství falešných poplachů, varování před
nebezpečnými).
Jak se testovalo:
a) Silný, velmi známí „remote control“ trojský kůň (Netbus Pro v2.1) byl
nainstalován v systému na nestandartním portu (k stížení detekce).
b) Byl použit Nmap scan k zkoumání zda příslušné porty byly opravdu úspěšně
uzavřeny. S nenainstalovaným firewallem testovací PC (Win2k sp1) posuzované
Nmap (nmap -sT -P0 -O IP_ADDR) ukazovalo:
Port State Protocol Service
7/tcp open echo
9/tcp open discard
13/tcp open daytime
17/tcp open qotd
19/tcp open chargen
23/tcp open telnet
135/tcp open loc-srv
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open listen
Výsledky:
a. The Netbus server
BlackICE neupozornil, že server byl spuštěn, ale nebylo možno navázat vzdálené
spojení (bylo hlášeno 'TCP port probe').
b. nmap scan
BlackICE upozorňoval na Nmap scans blikajíci červenou ikonou, byly hlášeny "TCP
Port scan", "TCP port probe", "NMAP OS Fingerprint", "TCP Ace ping", "TCP OS
Fingerprint" a "UDP Port Probe", a společně s dalšími, což je velmi dobré.
Nmap vracel velký seznam neproniknutelných portů, port 113 a některé porty
mezi 1024 a 65031. Stejně tak Nmap nebyl schopen zjistit o jaký OS se jedna.
Závěr serveru Security Portal:
Celkově během užívání Internetu byl subjekt podroben útokům PCAnywhere, BackOrifice a
několika TCP port scanům (všechny identifikované BlackICE). A byl serverem Security
Portal shledán jako užitečná pomůcka pro zvýšení vědomí uživatele o nebezpečí číhajícím na
něj na Internetu.
Výsledky a zkušenosti z vlastního testování
Testovaná verze 2.5ch
Na začátek jeden podle mě důležitý postřeh – je užitečné zakázat uživatelům úpravy jejich
nastavení a nejlépe jim produkt úplně skrýt. Čím méně uživatel o firewallu ví, tím menší bude
jeho pokušení zkusit ho obejít. BlackICE se sice zobrazuje na seznamu úloh, za to však
umožňuje úplně odstranit GUI z klientských počítačů.
Vlastní testy jsem prováděl dvojího druhu. Jednak nainstalováním BlackICE Agenta a užívání
po dobu jednoho měsíce na stroji připojovaném dial-up k síti internet. A za druhé několik
testů na malé lokální síti skládající se z 12 počítačů (z toho 9 se systémy
Win98SE/WinNT/Win2000 a 3 se systémem Red Hat Linux 7.0 ) a s kapacitou 100MB/s.
Testování komutovaným připojením pak probíhalo takto:
Normální provoz na síti internet s navštěvováním rizikových serverů, jenž mají snahu zjistit
co nejvíce informací o vašem počítači. Zde BlackICE Agent byl užitečným pomocníkem
zaznamenávající každý pokus, těchto nekalých praktik. Vše bylo hlášeno a zaznamenáno.
Podotýkám, že práh citlivosti alarmu je nastavitelný a můžete si vybrat, co vám má agent
hlásit a co stačí jen zaprotokolovat do log souboru pro případ pozdější potřeby.
Otestováním několika servery, jenž vám nabízí otestování otevřenosti a přístupnosti vašeho
počítače vůči náhodným útokům při surfování.
Použil jsem služeb serverů http://www.hackerwhacker.com/ a Shields UP! .
Po zaregistrování vám nabízí otestování některých nejběžnějších portů, jejich přístupnost
zvenčí, zabezpečení a zneužitelnost.
Oba testy dopadly vlastně shodně, BlackICE krom toho, že zaznamenal pokusy o vniknutí,
sám automaticky zamezil útočníkovi přístup. Tím zamezil potencionálnímu útočníku nejen
v možném průniku, ale i třeba jen v zjištění pro něj užitečné informace, jaký systém na
počítači běží, podle které by mohl podniknout další kroky.
Ukázka výpisu po testování serverem Shields UP!:
A hlášení serveru Shields Up! najdete v části Testy.
Zde pak po prověřování serverem hackerwhacker, hlášení naleznete též v příloze Testy.
Testování na síti LAN:
Tento test probíhal na lokální síti, která je sice připojena na internet, ale bohužel, v době kdy
jsem měl možnost testování provádět, byla z technických důvodů odpojena.
Zkoušelo se simulováním útoků ze sousedních počítačů (programem Back Orifice ze systémů
Windows a programem Nmap pro Linux) a pak úspěšnost i při plném vytížení sítě. Pokusil
jsem se zhodnotit i centrální spravování a aktualizační schopnosti ICEcap manageru.
Jako administrativní počítač jsem použil AMD Duron 700 MHz s 192MB RAM a operačním
systémem Windows 2000 SP 1. Čtyři klientské počítače byly osazeny Celerony 400 MHz a
128MB operační paměti, běžel na nich systém WinNT a Win98SE. Útočící stroje pak byly
postaveny na stejném HW jako klientské počítače s tím, že na jednom běžel systém Win98 a
na druhém Linux Ret Hat 7.0. Zbylé počítače obstarávaly simulaci běžného provozu na síti
LAN. Program Back Orifice 1.2, který jsem použil na rozdíl od verze 2000 nenavazuje přímé
spojení(na provedení příkazu odešle pouze jeden UDP(User Datagram Protokol) paket a
dostane zpátky příslušnou odezvu) a proto je hůře zachytitelný. Program Nmap pro linuxovou
platformu umí prozkoumávat sítě, provádět TCP, UDP a TCP SYN skenování. Podle
„fingerprints“ v TCP/IP také umí rozpoznat druh běžícího operačního systému.
Ačkoliv Network ICE vychvaluje schopnosti BlackICE při detekci vniknutí, proti útokům
Back Orifice není tak nezdolatelný. Od začátku útoku trvalo 1-5 sekund, než BlackIce
zareagoval – dost času na shození firewallu(zadat příkaz pro reboot počítače je záležitost
chvilky a žádný poplach to nezpůsobilo). Ovšem pokud vám to trvalo déle, dokázal BlackICE
rozpoznat útoky Back Orifice na jakémkoliv otevřeném portu. Detekce tedy není 100%
spolehlivá, aby vás úplně ochranila. Software by byl na tom také lépe, pokud by podporoval
ICMP blokování nebo kontrolu aplikací. Hackerským nástrojem Nmap se pak podařilo zjistit
jaký operační systém na cílové stanici běží.
Aktualizační schopnosti ICEcap Manageru jsou dobré – aktualizace probíhá automaticky,
kdykoliv administrátor provede změnu. Navíc se periodicky kontrolují klienti. To ovšem
znamená, že rozsáhlé instalace mohou generovat dost velký provoz. Možná by bylo lepší,
kdyby program čekal, dokud administrátor nespustí update sám.
Určení vhodné konfigurace back-end serveru je poněkud choulostivé. Jestliže má každý log
soubor 40kB a každou hodinu třeba 5000 lidí, váš server a síť musí umět zvládnout
minimálně 200MB za hodinu. A nesmíte zapomenout, že aktualizace softwaru mohou mít
objem i několika megabajtů a pokud si jej budou stahovat stovky zaměstnanců najednou (jako
v tomto případě), dá to serveru pořádně zabrat.
Příslušnost počítače do skupin určuje ICEcap podle IP adresy a vygenerovaných ID čísel (na
rozdíl od svých starších verzí, co tuto schopnost neměly). Není proto problém, pokud
potřebujeme přesunout počítač z jedné řady adres do jiné, aniž by si takový počítač stahoval
úplně jiné soubory politiky, než bychom čekali.
v Závěr
Kdy potřebujete personální firewall:
Potřebujete míti data na vašem počítači dálkově přístupná skrze internet.
Provozujete jakýkoliv druh internetového serveru, třeba Personal Web Server.
Užíváte skrze internet na dálkovou správu počítače program jako
Laplink, or Wingate.
PC Anywhere,
Chcete náležitě a bezpečně monitorovat vaše internetové připojení proti pokusům o
vniknutí.
Chcete se preventivně ochránit před nebezpečím "uvnitř hradeb" - Trojské koně,
rogramy jako NetBus nebo Back Orifice.
Zhodnocení
Mezi vynikající přednosti tohoto produktu patří jeho reportovací výbava. Poskytuje jasné
informace o útocích a jejich zdrojích. Přiřazení priority různým útokům je velmi užitečná věc,
lze tak odfiltrovat neškodné útoky jako scanování portů, a správce se pak může věnovat
vážnějším rizikům jako je třeba trojský kůň. Od hranice několika desítek spravovaných stanic
je to k nezaplacení.
Výborná je možnost centrálně a na dálku spravovat klientský software. Konfigurace pak
nabízí velmi mnoho nastavení. Bohužel ovládání nepatří mezi jednoduché. Vlastní
přizpůsobený balíček instalace klienta je možné zkomprimovat cca na 2.5 MB(2x1.44MB
diskety), tedy velmi dobrá distribuovatelnost. Instalace nevyžaduje restart. Na pracovní stanici
mohou běžet i non-IP protokoly. Podporované platformy jsou rodina MS Windows od třídy
95 výše. Nyní je nově k dispozici i varianta pro Sun Microsystem, avšak chybí zde platforma
Linux.
Dále za nevýhodu bych považoval také především absenci ICMP(Internet Control Message
Protocol) blokování nebo kontroly aplikací, produkt provádí pouze firewall příchozích
událostí, nikoliv přístup aplikací k síti.
Vhodné podmínky a doporučené oblasti užití
Produkt je opravdu nanejvýše vhodné užívat dohromady s nějakým antivirovým programem.
Hodí se jak pro domácí použití(samostatný BlackICE Agent), tak především do oblasti
podnikových, školních a jiných LAN napojených na internet, kam je ostatně převážně jako
celek určen.
Avšak srovnáme-li ho s programem ZoneAlarm, který používám já osobně, pak na domácí
užití se hodí spíše právě ZoneAlarm.
Naopak do míst, kde je třeba se starat o více počítačů, je to právě BlackICE se svou dobře
vypracovanou centrální politikou vypořádávající se skvělě s plně vytíženými sítěmi, který
bych doporučil. A to nejen na základě vlastních zkušeností, ale též především podle názorů
odborníků, kteří program testovaly a mohli ho porovnat s produkty stejného typu.
v Dodatek
Testy
MierTestICEsentry.pdf
MierTestICEagent.pdf
Shields UP! -- Port Probe.htm
HACKER WHACKER results.htm
Na tomto místě budou vytištěny tyto soubory.
Použité zdroje
Network ICE web site
http://www.networkice.com/
MIER Communications Inc.
http://www.mier.com/
Security Portal
http://www.securityportal.com/
Network Computing
http://www.networkcomputing.cz/
CNN Sci-Tech
http://www.cnn.com/2001/TECH/
Shields Up!
Hacker Whacker
http://www.hackerwhacker.com/
Copyrights
BlackICE™, ICEcap™, ICEpac™, InstallPac™, InstallNet™, Network ICE™, and the
Network ICE logo are all trademarks of the Network ICE Corporation.
Windows® and Microsoft® are registered trademarks, and Windows NT™, Windows
2000™, Windows 98™, Windows 95™, and Internet Explorer™ are all trademarks of
the Microsoft Corporation.
Copyright © 2000 MIER Communications Inc. Intrusion-Detection Systems.
All other products mentioned in this manual are the trademarks or
registered trademarks of their respective owners.