IDS/IPS - ano či ne?

QUALITY & SECURITY 2007
Praha – hotel Olšanka - 14.3 2007
Petr Zemánek – Senior Presales Consultant
IDS/IPS - ano či ne?
Být...
...či nepoužít IDS/IPS?
2
Agenda
Co na nás útočí
Různé druhy útoků
Jaké máme detekční mechanismy
Jak se detekují jednotlivé druhy útoků
Jak se rozhodovat při nákupu
Jak moc potřebuji IDS/IPS?
Kolik do něj investovat ?
Jaké koupit ?
3
Co na nás útočí
aneb Internetová havěť
Kudy útoky přicházejí?
Útok na vaši síť je nevyhnutelný, proto je dobré se
připravit, pomocí poznání sama sebe ...
Jsou dvě základní cesty, jak napadnout síť:
Zneužití zranitelnosti
Sociální inženýrství
Zranitelnosti mohou být dále napadány skrz:
Softwarové chyby
Chyby v konfiguraci
Špatná implementace
5
Útoky jsou stále promyšlenější
Firemní síť
Script Kiddies
Známé útoky
Více…
DoS útoky
IP Spoofing
6
Zdroj : Juniper Networks
Nedokumentované
útoky
Backdoor
útoky
TYP ÚTOKU
PŘÍKLAD
ÚROVEŇ ÚTOKU
Známý
Code Red
Síťová / Aplikační
No Pattern, Nové útoky
Buffer overflow
Síťová / Aplikační
Backdoor
Back Orifice
Aplikační
Reconnaissance
nmap
Síťová
Script Kiddies
Telnet root
Síťová / Aplikační
IP Spoofing
IP Spoofing
Síťová
DoS útok
Syn flood
Síťová
Zneužití konfigurace nebo implementace
Útočník zneužívá zranitelnosti v systémech vytvořené během konfigurace
nebo implementace k získání dat a případně získání kontroly nad zdrojem.
Chráněná síť
Internet
Příklad: EXPN (rozšíření
skupiny jmen nebo aliasů)
muže být spuštěn v defaultu,
nebo v chybném nasazení při
konfiguraci SMTP serveru.
To dává útočníkovi přístup
k uživatelským informacím.
Útočník
Napadaný
Mail server
Mail
Okay
CTL >expn root
ÚTOK!!!
7
Zdroj : Juniper Networks
Zneužití známých zranitelností
Útočník zneužívá známou
zranitelnost k získání
přístupu k serveru, změně
dat, ukradení informací
způsobení DoS atd.
Příklad: Po ustanovení
spojení umožní
zranitelnost v programu
Sendmail akceptovat příliš
mnoho dat.
Útočník může odeslat
nadbytečná data aby
přetekly serverovou
vyrovnávací paměť za
účelem získání root
privilegií = útočník získá
úplnou kontrolu
8
Zdroj : Juniper Networks
Chráněná síť
Internet
Napadaný
Mail Server
Útočník
Ustavení spojení
Hello
Hello
Chci odeslat poštu z:
[email protected] na:
[email protected]
Odeslání dat
Server očekává méně než
256 bajtů dat
ÚTOK!!!
Odesílá 516 bajtů dat
Přebytek přeteče přes vyrovnávací paměť a útočník
využije přetečený kód k převzetí serveru
Příjemce
OK/pokračuj
Přetečení vyrovnávací paměti
•
•
Útočník získá plný přístup
k serveru pomocí spuštění
vlastního kódu pod admin
právy.
Může existovat chyba v
programu která nelimituje
množství dat zapisovaných do
bufferu umož. datům „přetéct“
a vystavit se zranitelnosti.
Příklad: Útočník zašle škodlivý kód
s přístupovými daty aby přetekly
buffer.
Přetečení změní adresu kam jít až
skončí současná procedura.
Program skočí na škodlivý kód,
umožňujíc tím útočníkovi spustit
jeho příkazy.
9
Zdroj : Juniper Networks
Chráněná paměť počítače
Odskok na
Správnou adresu
K bytů
buffer
Odskok na adresu ve chvíli kdy
funkce skončí
Zranitelná paměť počítače
K bytů
buffer
Odskok na
škodlivý kód
Adr. škod.o kódu na kterou se
odskočí ve chvíli kdy fce skončí
Trojské koně
Útočník použije sociálního inženýrství, nebo jiné prostředky k instalaci
škodlivého programu na cílovou stanici. Například útočník může odeslat e-mail
se spustitelným souborem, jako například zpívající narozeninové přání nic
netušícímu uživateli.
Útočník
Když uživatel spustí
soubor, ten instaluje bez
vědomí uživatele na
pozadí škodlivý program.
Útočná aktivita
E-mailový trojan
“Trojan” stáhne backdoor
Útočník, potom využívá
škodlivý program k
získání kontroly nad
napadenou stanicí. To
mu umožňuje dělat si z
poza firewallu co chce.
10
Zdroj : Juniper Networks
Útočník se napojí na backdoor, a server
je kompromitován. Útočník má nad
servrem plnou nadvládu
Pošt.klient
Průzkumné útoky
Útočník se pokusí kontaktovat všechny potenciální zdroje v síti, aby zjistil, které jsou k
dispozici a mohl později vyzkoušet útok na dostupné zdroje.
Například, útočník může zkusit kontaktovat všechny porty na veřejném serveru (port scan)
nebo kontaktovat všechny porty 80 (HTTP) na určitém rozsahu adres (network scan)
Útočník
Scan
otevřen
11
Zdroj : Juniper Networks
Průzkumné útoky
Útočník se pokusí kontaktovat všechny potenciální zdroje v síti, aby zjistil, které jsou k
dispozici a mohl později vyzkoušet útok na dostupné zdroje.
Například, útočník může zkusit kontaktovat všechny porty na veřejném serveru (port scan)
nebo kontaktovat všechny porty 80 (HTTP) na určitém rozsahu adres (network scan)
Útočník
12
Zdroj : Juniper Networks
Jaké máme detekční algoritmy
aneb odhmyzovače v akci
Zdroj : RAID specialista proti hmyzu
Firewall nestačí
Většina organizací je připojena k Internetu a vlastní
nějakou formu firewallu
Většina podniků provozuje firewall samostatně a
není schopna blokovat sofistikované útoky
Stále kratší
14
Zdroj : Juniper Networks
Pr
č e vn í
rv
i
P
zn rvn
eu í
ž it
í
zr V
an z n
ite ik
ln
os
ti
zr Ozn
an ám
i te n
ln í
os
ti
Životní cyklus zranitelností a hrozeb
Jak tedy můžeme tyto útoky detekovat?
Žádný detekční algoritmus nemůže najít všechny
druhy útoků
Jak pracují současné detekční algoritmy a na jaké
druhy útoků jsou vhodné:
Paketové vs. stateful signatury
Detekce protokolových anomálií
Detekce „zadních vrátek (backdoor)“
Honeypot
Protokolové anomálie
Ostatní
15
Detekce neobvyklého provozu
Metoda identifikace použití neobvyklého provozu
Žádné protokolové anomálie, nebo specifické vzory
útoků ale neobvyklý provoz / objem provozu
Příklad: Ping Sweep
Skenuje síť pro identifikaci potenciálních zdrojů budoucího útoku –
průzkum
Ping sweep z externího/podezřelého zdroje by měl být hlášen
administrátorovi
16
Detekce protokolových anomálií
Protokoly jsou definovány tak, aby bylo možné
přesně popsat jejich „běžné“ použití
“Zneužití” nebo netypické použití protokolu je na IPS
detekováno
Příklad: FTP Bounce Attack
Prosím otevři FTP spojení
FTP Server
Prosím připoj se k x.x.x.B
(neautorizovaný klient - útočník)
x.x.x.B není autorizovanou klientskou
stanicí Možné zneužití FTP protokolu
Požadavek zablokován!!!
17
Zdroj : Juniper Networks
FTP Client
x.x.x.A
x.x.x.B
Stateful Signatures
Dívá se na útok v kontextu
Zabrání slepému skenování veškerého provozu
kvůli konkrétnímu řetězci
Zvýšuje efektivitu
Redukuje false-positive
Example: Code Red Worm
Využívá k útoku HTTP GET request
IDP zařízení pouze hledá tento požadavek a ne ostatní HTTP provoz
18
Zdroj : Juniper Networks
Detekce „zadních vrátek“ / trojanů
Známý koncept „trojského koně“
Výzvou je identifikovat útok v případě, kdy je první
linie obrany prolomena
Heuristická metoda analýzy interaktivního provozu
Příklad: Provoz pocházející od web serveru
Webové servery typicky odpovídají na dotazy „pro informaci“, žádné
spojení neinicializují
„Podpis“ nakaženého serveru/uzlu
19
Různé detekční algoritmy musí :
Detekovat
více útoků
Snížit počet
falešných alarmů
20
Zdroj : Juniper Networks
Mechanizmus
Typ
Příklad
Stateful Signatures
Well known
EXPN Root
Protocol Anomaly
Unknown, No Pattern
DNS Cache Poisoning
Backdoor Detection
Interactive
Woms/Trojans
Traffic Anomaly
Reconnaissance
Nmap
Network Honeypot
Script kiddies
Nmap
Spoof Detection
IP Spoofing
…
Layer2 Detection
ARP Attacks
…
Syn Flood Detection
Certain
DoS attacks
…
IDS – je skutečně druhou vrstvou obrany?
Podniková síť
00000000000000000000000
0000
00000000000000000000000
0000
00000000000000000000000
0000
000000000000000000000000000
Detekované Falešné
útoky
poplachy
Nedetekované
útoky
Zakázaný provoz
Zakáže některé útoky
00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
Povolený provoz
00000000000000000000000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
00000000000000000000000000000 000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
21
Firewall poskytuje
kontrolu přístupu
Zdroj : Juniper Networks
IDS poskytuje
Monitoring útoků
TCP Reset
Problém
• Útok dosáhne cíle
• Vždy vyžaduje prozkoumání
úspěšného útoku
• Pouze pro TCP spojení
22
Zdroj : Juniper Networks
Spolupráce s firewallem
1. IDS detekuje útok
2. Odešle zprávu firewallu aby
zablokoval všechen budoucí provoz z
dané IP adresy
Problém
• Útok dosáhne cíle
• Vždy vyžaduje prozkoumání
důvodů útoku
• Navrženo tak, aby blokoval IP
adresu i do budoucna
Jestliže útočník použije, nebo spoofuje
např.dresu AOL, bude zahazován veškerý provoz
z AOL
23
Zdroj : Juniper Networks
• Dělá systém zranitelný na DoS
útok
Aktivní odezvy - IPS
Aktivní, in-line systém
detekuje útok a zahazuje
škodlivý provoz během
detekčního procesu
Výhody
Zahozeno
•Doplňuje firewall jako druhé
vrstva bezpečnosti
•Útok nikdy nedosáhne cíle
•Netřeba ztrácet čas studiem
útoku
•Pracuje s jakýmkoliv provozem
24
Zdroj : Juniper Networks
Jak se rozhodovat při nákupu
aneb jak být v bezpečí a neprodělat
Světový trh IPS
Předpovědi ukazují na zaměření trhu směrem k IPS technologiím Worldwide
Příjmy z IDS/IPS by měly dosáhnout kolem 800 miliónů dolarů za rok 2009
Network-based products continue to account for more than 2/3 of total
revenue
Celosvětové příjmy z IDS/IPS
900
790
752
800
700
603
667
544
600
500
Příjmy
(Milióny USD) 400
819
384
427
Network-based
277
Host-based
300
200
100
0
CY01 CY02 CY03 CY04 CY05 CY06 CY07 CY08 CY09
Rok
26
Zdroj: Network Security Appliance and Software
Quarterly Worldwide Market Share and Forecast for 1Q06
S křivka optimální výše investic
Míra bezpečnosti
Vysoká
Optimální výše
investovaných
prostředků
Podceňování
bezpečnostních
rizik
Investice bez
výrazného růstu
bezpečnosti
Nízká
Nízké
27
Investice do bezpečnosti
Vysoké
Jak tedy vybírat?
Zvážit riziko/cena
Potřebuji plnohodnotné IDS/IPS?
Nástavby nad firewall
Zvážit použití
Volba IDS x IPS
Klientská x aplikační x síťová
Zajistit obsluhu
Každý systém je dobrý jen
tak, jako ten který ho spravuje
Zvážit výrobce
Každé řešení má své výhody
Interoperabilita s dalšími komponenty
a další …
28
Nepoužívejte IPS ...
... podělte se o svůj počítač se zvířátky
29
Děkuji za pozornost
[email protected]
váš bezpečnostní partner