Средства обнаружения атак
Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак
Архитектура систем обнаружения атак Модуль слежения Модуль управления Системы на базе узла Системы на базе сегмента
Архитектура систем обнаружения атак сервер WWWсервер Рабочие места Маршру- тизатор МЭ Сенсоры Сенсоры
Архитектура систем обнаружения атак сервер WWWсервер Рабочие места Маршру- тизатор МЭ Управляющие компоненты
сервер WWWсервер Рабочие места Маршру- тизатор МЭ Системы обнаружения атак на базе узла
Источники данных: Журналы аудита Журналы аудита Действия пользователей Действия пользователей Необязательно: Сетевые пакеты (фреймы), направленные к узлу и от узла
Системы обнаружения атак на базе сети сервер WWWсервер Рабочие места Маршру- тизатор МЭ
Системы обнаружения атак на базе сети TCP IP NIC Источник данных: Сетевые пакеты (фреймы) Сетевые пакеты (фреймы)
Принципы работы систем обнаружения атак Обнаружение аномалий Анализ сигнатур
A B ООВ Port=139 Windows Атака WinNuke Сигнатуры «State-less» (одно пакетные)
Анализ сигнатур Атака SynFlood Сигнатуры «State-based» (анализ таблиц) A SYN X ACK SYN Узел А SYN Узел А SYN Узел А SYN Узел А SYN Узел А
Анализ сигнатур Атака HTTP_Shell Сигнатуры «Stream-oriented» (сборка сегментов) WWW-сервер X
Системы обнаружения атак Net ProwlerSecure IDS eTrust Intrusion Detection RealSecureSnort Производитель Axent Technologies Cisco Systems Computer Associates Internet Security Systems Нет Платформа Windows NT Защищенная версия Solaris Windows NT (2000) Unix Технология обнаружения Сигнатуры атак Принцип реализации Сигнатуры атак Сигнатуры атак Сигнатуры атак Сигнатуры атак На базе сети На базе сети На базе сети + возможности МЭ На базе сети и на базе узла На базе сети
Система обнаружения атак RealSecure TCP IP NIC На базе узла На базе сети
Компоненты RealSecure Модули слежения Модули управления Сетевой модуль (Network Sensor) Системный агент (OS Sensor) Server Sensor
Компоненты RealSecure Модули слежения Модули управления Workgroup Manager Server Manager Командная строка
Компоненты RealSecure Модули управления Workgroup Manager Event Collector Enterprise Database Asset Database Console Server Manager Командная строка
Архитектура Event Collector (сбор событий с сенсоров) Консоли Сетевой модуль (Network Sensor) Системный агент (OS Sensor) Server Sensor
Взаимодействие компонентов Сенсоры Консоли Enterprise Database Asset Database Event Collector
Расположение сетевого модуля Network Sensor Event Collector
Расположение системного агента OS Sensor Event Collector
Расположение Server Sensor Server Sensor Event Collector
Server Router NT Clients & Workstations Network UNIX NTUNIX Пример атаки Firewall Web Server UNIX Шаг 1. При сканировании портов через МЭ была обнаружена служба rlogin на нескольких узлах и служба IMAP, содержащая уязвимость, на почтовом сервере Шаг 2. Использование уязвимости в службе IMAP для получения доступа с правами администратора к почтовому серверу в DMZ. imap Шаг 4. Получение доступа к файлам, содержащим пароли и попытка их расшифровки. Получение доступа к другим узлам сети Crack Шаг 5. Установка серверной части троянского коня на одном из узлов rlogin Шаг 3. Почтовый сервер используется в качестве платформы для получения доступа к узлу с ОС Unix за МЭ.
Пример атаки: Сеть + RealSecure Firewall Server Web Server Router NT Clients & Workstations Network UNIX NTUNIX Шаг 1. Сетевой сенсор обнаруживает попытки сканирования и реконфигурирует МЭ для их блокировки. Серверный сенсор обнаруживает попытки подключения к портам и блокирует ответы на них. Шаг 2. Сетевой сенсор обнаруживает атаку на службу IMAP. Серверный сенсор блокирует исходящие соединения, направленные во внутреннюю сеть Шаг 5. Сетевой и серверный сенсор обнаруживают попытки установки или использования серверных частей троянских коней Шаг 4. Серверный сенсор обнаруживает попытки доступа к файлам с паролями а также ограничивает использование служб FTP/Telnet. Шаг 3. Серверный сенсор оповещает о попытках подключения со стороны узла из DMZ или блокирует такие попытки. Network Sensors Server Sensors
Категории контролируемых событий Атаки – –Уровня сети (Сканирование портов, SYN Flood, Ping of Death) – –Уровня СУБД (MS SQL Server) – –Уровня приложений (Атаки на MS IIS, MS Exchange) Установленные соединения – –TELNET, FTP, SMTP Пользовательские события – –HTTP – запросы, содержимое почтовых сообщений
Механизмы реагирования RealSecure Разрыв соединения Реконфигурация межсетевого экрана Выполнение программы, определённой пользователем Отправка сообщения На консоль По протоколу SNMP По Регистрация события в БД Расширенная регистрация с возможностью последующего воспроизведения
Server Sensor Обнаружение атак на всех уровнях на конкретный узел сети Особенности: производительность работа в коммутируемых сетях работа в сетях с шифрованием Функции персонального межсетевого экрана
Server Sensor 2. Стек TCPIP 1. Low Module 3. High Module
Система обнаружения атак Snort
Архитектура TCP IP NIC По принципу реализации Система на базе сети Система на базе сети По технологии обнаружения Анализ сигнатур Анализ сигнатур
Режимы работы Sniffer Mode Sniffer Mode Packet Logger Packet Logger Intrusion Detection System Intrusion Detection System
Sniffer Mode Вывод на экран содержимого пакетов EthernetIP TCP UDP ICMP Данные./snort -v./snort -vd./snort -vde IP TCP UDP ICMP Данные IP TCP UDP ICMP
Packet Logger Запись содержимого пакетов в файл./snort –vde –l./log подкаталог log в текущем каталоге
Intrusion Detection System Обнаружение событий./snort –vde –l./log – c snort.conf Правила срабатывания (контролируемые события)
Обнаружение атак и МЭ Использование OPSec SDK, предоставляющих необходимые API Применение открытых протоколов – – CVP(Content Vectoring Protocol) – – UFP (URL Filter Protocol) – – SAMP (Suspicious Activity Monitoring Protocol – – LEA (Log Export API ) – – OMI (Object Management Interface) Использование языка INSPECT Концепция OPSec
Реконфигурация МЭ Network Sensor Протокол SAMP
Реконфигурация МЭ Network Sensor Протокол SAMP
Реконфигурация МЭ Network Sensor