IDS/IPS. Tanel Rõigas

Transcription

1 IDS/IPS Tanel Rõigas

2 Ründetuvastamise ja -tõrje vahendid 1. IDS 2. IDS inventuuri abil 3. Riistvaraline IDS 4. Snort

3 IDS kui mõiste IDS Intrusion Detection System - ründetuvastus IDS on mõeldud avastama ründeid IDS on oma olemuselt passiivne Passiivne IDS on surnud kaasaegses suure andmeside ribalaiusega võrkudes pole süsteemiadministraatoril aega ega vajadust tegeleda kõikide rünnetega IDS on osa ründetõrjesüsteemist

4 IDS inventuuri abil Inventuur võimaldab igal ajahetkel väita, et süsteemi pole muudetud või muutused on legaalsed, st. süsteemihaldaja poolt sisse viidud Inventuuri puhul arvutatakse süsteemi failidele või osadele (nt. konfiguratsioonifailidele) kontrollsummad. Nende võrdlemisel algsete kontrollsummadega saab rakendada erineva taseme hoiatusi ja ründe ohvriks sattudes algse olukorra operatiivselt taastada

5 Linuxi vahendid inventuuriks Perimeetriruuterite ja tulemüüride konfiguratsioon ei muutu kuigi sagedasti Muudatusi viivad sisse süsteemiadministraatorid, kes on ka hoiatuse saajad Inventuur ei tohi olla ainus turvameede, kuna on mitmeid ründeid, mille eest see üldse ei kaitse

6 Linuxi vahendid inventuuriks Tripwire võimaldab luua kontrollsummad kataloogidele ja failidele Vanem, lihtsam lahendus fcheck Versioonihalduslik mercurial AIDE tripwire edasiarendus, analüüsiv whitepaper

7 Inventuur ISKEs, turvatase M M 2.34 IT-süsteemi muutuste dokumenteerimine M 2.86 Tarkvara tervikluse tagamine M Marsruuterite ja kommutaatorite susteemikonfiguratsiooni dokumenteerimine M Turvapaikade ja muudatuste halduse planeerimine M 4.26 Regulaarne turvakontroll Unix-susteemis (/etc/pwck, /etc/grpck, tripwire, cops, SATAN, crack,..) Märkus: ISKE käsitleb inventuuri laiemas (traditsioonilisemas) tähenduses, kui meie loeng

8 Inventuur ISKEs, turvatase M M 4.34 Krüpteerimise, kontrollsummade ja digitaalallkirjade rakendamine (meede on üldine, kuid laialt viidatud läbi ISKE, k.a. turvataseme H juures)

9 Inventuur ISKEs, turvatase H HG.37 Tarkvara tervikluskontroll igal installeerimisel HG.56 Lisanõuded muudatuste haldusele M4.34 lai rakendamine HT: TEABE TERVIKLUSE TURVAMEETMED

10

11 IDS, IPS ja tulemüür Tulemüür käsitleb pakette pealdise järgi Tulemüür on orienteeritud haldama kogu liiklust IDS vaatab kriteeriumi(te)le vastavate pakettide sisu ja teavitab Kaasaegne linuxipõhine perimeetriruuter võib jõudluse poolest täita mõlemat funktsiooni IPS Intrusion Prevention System ründetõrjesüsteem rakendab kriteeriumile vastava liikluse avastamisel etteantud meetme

12 Riistvaraline IDS Cisco ASA lisamoodulid - Cisco ASA on populaarne tulemüüriseadmete pere Cisco 4000 series IPS - ory_home.html Tipping Point, McAfee, ArcSight jne Kombineerivad signatuuripõhist ja käitumispõhist tuvastamist ja tõrjet Võrku paigutatakse üks või mitu sensorit, mis edastavad andmeid tsentraalsele IDS/IPS-le

13 Riistvaraline IDS Kommertstoote litsents loendab vaadeldavaid seadmeid, kasutajate arvu, uuenduste tellimuse kestvust jne Kommertstoote eeliseks on valmiskujul graafiline kasutajaliides ja aruandlus, tehniline lahendus võib põhineda vabavara edasiarendusel

14 Vabavaraline IDS ACARM-ng AIDE Bro NIDS OSSEC HIDS Prelude Hybrid IDS Samhain Snort Suricata

15 Snort Snort is an open source network intrusion prevention and detection system (IDS/IPS) developed by Sourcefire. Combining the benefits of signature, protocol, and anomaly-based inspection, Snort is the most widely deployed IDS/IPS technology worldwide. With millions of downloads and nearly 400,000 registered users, Snort has become the de facto standard for IPS.

16 Snort rakendusmetoodikad EasyIDS - peaaegu karbilahendus ettevalmistatud Snort-põhine IDS apt-get install meetodil debiani distributsioonist Lähtekoodist Uuendusteta Snort ei taga turvalisust!

17 Suricata apt-get install meetodil debiani distributsioonist Lähtekoodist oad-suricata The Suricata Engine is an Open Source Next Generation Intrusion Detection and Prevention Engine. This engine is not intended to just replace or emulate the existing tools in the industry, but will bring new ideas and technologies to the field.

18 Snorti uuendused - Oinkmaster Oinkmaster Snort Rules Manager ehk snorti reeglitega opereerimise programm Lihtsa süntaksi ja konfiguratsioonifailiga reegliuuendaja Uuendab ka Suricata reegleid, kui Snorti asemel kasutuses Suricata

19 Snort reeglid Inglise keeles - Snort rules. Tingimus(ed), millele vastamisel kas genereeritakse hoiatus või blokeeritakse paketid alert tcp $EXTERNAL_NET any -> $TELNET_SERVERS 23 (msg:"telnet Solaris memory mismanagement exploit attempt"; flow:to_server,established; content:" A0 23 A0 10 AE EE 23 BF EC E0 D6 90 % E0 "; classtype:shellcode-detect; sid:1430; rev:7;) (näide telneti reeglitest)

20 Snort reeglid Tegevused: Alert loome hoiatuse, logime paketi Log logime paketi Pass ignoreerime paketti Activate loome hoiatuse, rakendame dynamic reeglid Dynamic eelneb Activate tegevus, järgnevalt logime Drop laseme iptables-il paketi droppida ja logime Reject laseme iptables-il paketi droppida ja saadame keeldumise Sdrop - laseme iptables-il paketi droppida ja ei logi

21 Snort reeglid Turvakommuun, kes tegeleb operatiivselt reeglite uuendamise ja täiendamisega; - Reeglid Snorti eri versioonidele ja Suricata le ; - Kohandatav Oinkmasteri allikaks;

22 Snorti reeglid -ist Lepingulistele kasutajatele kohe, teistele kuu aega hiljem Allalaadimine eeldab oinkcode tellimist ja on selle abil automatiseeritav

23 Snorti pistikprogrammid Pakettide eel-defragmenteerijad Frag3 ja Stream4 Signatuuripõhine otsing eeldab, et signatuurile vastav paketisisu on ühes paketis, signatuuri osade kaupa otsing on töömahukam Lahendus on fragmenteeritud paketid enne uurimist defragmentida Pordiskaneerimise vastu suunatud sfportscan Koondab pordiskaneerimisele iseloomuliku liikluse tuvastamismeetodeid

24 Sensorite paigutuse näide

25 Sensorite paigutuse näide Kui meil on perimeetriruuter, mida läbib vaadeldav liiklus, võib sensori paigutada monitooringuliidesele, kuhu liiklus kopeeritakse (nt. eth0 võrguliides, eth1 monitooringuliides) Kui me vaatleme liiklust, mis läbib kommutaatorit, võib sensori ühendada SPAN või TAP porti Strateegilistele võrguosadele võib paigutada eraldi sensori

26 Snort kui IPS Snort võib töötada IPS-ina, kui liiklus suunata läbi iptables i que iptables -A INPUT -p tcp --dport 80 -j QUEUE iptables -A OUTPUT -p tcp --sport 80 -j QUEUE # start Snort in inline (IPS) mode packets are read from iptables QUEUE target: # /sbin/iptables -A INPUT -p tcp --dport 80 -j QUEUE # /sbin/modprobe ip_queue # With this setup, Snort acts as a software module that protects # the local web server (however, this solution is incomplete!) snort -D -c /etc/snort/snort.conf -Q -s -b -d

27 Snort ja BASE Basic Analysis and Security Engine on Snorti info visualiseerija, mis võimaldab luua Snorti andmebaasile päringuid Võib installida lähtekoodist - Debiani pakk acidbase Eeldab Snorti andmete hoidmist SQL baasis

28

29

30 Tänan Teid! Koolitused ja infopäevad toimuvad EL sf programmi Infoühiskonna teadlikkuse tõstmine raames, mida rahastab Euroopa Regionaalarengu Fond. Projekti tellija on Riigi Infosüsteemi Amet ja projekti aitab läbi viia BCS Koolitus AS.