Средства обнаружения атак Раздел 2 – Тема 14

Средства защиты сетей МЭ Средства анализа защищённости Средства обнаружения атак

Архитектура систем обнаружения атак Модуль слежения Модуль управления Системы на базе узла Системы на базе сегмента

Архитектура систем обнаружения атак сервер WWWсервер Рабочие места Маршру- тизатор МЭ Сенсоры Сенсоры

Архитектура систем обнаружения атак сервер WWWсервер Рабочие места Маршру- тизатор МЭ Управляющие компоненты

сервер WWWсервер Рабочие места Маршру- тизатор МЭ Системы обнаружения атак на базе узла

Источники данных: Журналы аудита Журналы аудита Действия пользователей Действия пользователей Необязательно: Сетевые пакеты (фреймы), направленные к узлу и от узла

Системы обнаружения атак на базе сети сервер WWWсервер Рабочие места Маршру- тизатор МЭ

Системы обнаружения атак на базе сети TCP IP NIC Источник данных: Сетевые пакеты (фреймы) Сетевые пакеты (фреймы)

Принципы работы систем обнаружения атак Обнаружение аномалий Анализ сигнатур

A B ООВ Port=139 Windows Атака WinNuke Сигнатуры «State-less» (однопакетные)

Анализ сигнатур Атака SynFlood Сигнатуры «State-based» (анализ таблиц) A SYN X ACK SYN Узел А SYN Узел А SYN Узел А SYN Узел А SYN Узел А

Анализ сигнатур Атака HTTP_Shell Сигнатуры «Stream-oriented» (сборка сегментов) WWW-сервер X

Системы обнаружения атак Net ProwlerSecure IDS eTrust Intrusion Detection RealSecureSnort Производитель Axent Technologies Cisco Systems Computer Associates Internet Security Systems Нет Платформа Windows NT Защищенная версия Solaris Windows NT (2000) Unix Технология обнаружения Сигнатуры атак Принцип реализации Сигнатуры атак Сигнатуры атак Сигнатуры атак Сигнатуры атак На базе сети На базе сети На базе сети + возможности МЭ На базе сети и на базе узла На базе сети

Система обнаружения атак RealSecure TCP IP NIC На базе узла На базе сети

Компоненты RealSecure Модули слежения Модули управления Сетевой модуль (Network Sensor) Системный агент (OS Sensor) Server Sensor

Компоненты RealSecure Модули слежения Модули управления Workgroup Manager Server Manager Командная строка

Компоненты RealSecure Модули управления Workgroup Manager Event Collector Enterprise Database Asset Database Console Server Manager Командная строка

Архитектура Event Collector (сбор событий с сенсоров) Консоли Сетевой модуль (Network Sensor) Системный агент (OS Sensor) Server Sensor

Взаимодействие компонентов Сенсоры Консоли Enterprise Database Asset Database Event Collector

Расположение сетевого модуля Network Sensor Event Collector

Расположение Server Sensor Server Sensor Event Collector

Server Router NT Clients & Workstations Network UNIX NTUNIX Пример атаки Firewall Web Server UNIX Шаг 1. При сканировании портов через МЭ была обнаружена служба rlogin на нескольких узлах и служба IMAP, содержащая уязвимость, на почтовом сервере Шаг 2. Использование уязвимости в службе IMAP для получения доступа с правами администратора к почтовому серверу в DMZ. imap Шаг 4. Получение доступа к файлам, содержащим пароли и попытка их расшифровки. Получение доступа к другим узлам сети Crack Шаг 5. Установка серверной части троянского коня на одном из узлов rlogin Шаг 3. Почтовый сервер используется в качестве платформы для получения доступа к узлу с ОС Unix за МЭ.

Пример атаки: Сеть + RealSecure Firewall Server Web Server Router NT Clients & Workstations Network UNIX NTUNIX Шаг 1. Сетевой сенсор обнаруживает попытки сканирования и реконфигурирует МЭ для их блокировки. Серверный сенсор обнаруживает попытки подключения к портам и блокирует ответы на них. Шаг 2. Сетевой сенсор обнаруживает атаку на службу IMAP. Серверный сенсор блокирует исходящие соединения, направленные во внутреннюю сеть Шаг 5. Сетевой и серверный сенсор обнаруживают попытки установки или использования серверных частей троянских коней Шаг 4. Серверный сенсор обнаруживает попытки доступа к файлам с паролями а также ограничивает использование служб FTP/Telnet. Шаг 3. Серверный сенсор оповещает о попытках подключения со стороны узла из DMZ или блокирует такие попытки. Network Sensors Server Sensors

Категории контролируемых событий Атаки – –Уровня сети (Сканирование портов, SYN Flood, Ping of Death) – –Уровня СУБД (MS SQL Server) – –Уровня приложений (Атаки на MS IIS, MS Exchange) Установленные соединения – –TELNET, FTP, SMTP Пользовательские события – –HTTP – запросы, содержимое почтовых сообщений

Механизмы реагирования RealSecure Разрыв соединения Реконфигурация межсетевого экрана Выполнение программы, определённой пользователем Отправка сообщения На консоль По протоколу SNMP По Регистрация события в БД Расширенная регистрация с возможностью последующего воспроизведения

Обнаружение атак и МЭ Использование OPSec SDK, предоставляющих необходимые API Применение открытых протоколов – – CVP(Content Vectoring Protocol) – – UFP (URL Filter Protocol) – – SAMP (Suspicious Activity Monitoring Protocol) Использование языка INSPECT Концепция OPSec

Реконфигурация МЭ Network Sensor Протокол SAMP

Реконфигурация МЭ Network Sensor Протокол SAMP

Реконфигурация МЭ Network Sensor

Практическая работа 12 Работа с программой RealSecure

Система обнаружения атак Snort

Архитектура TCP IP NIC По принципу реализации Система на базе сети Система на базе сети По технологии обнаружения Анализ сигнатур Анализ сигнатур

Режимы работы Sniffer Mode Sniffer Mode Packet Logger Packet Logger Intrusion Detection System Intrusion Detection System

Sniffer Mode Вывод на экран содержимого пакетов EthernetIP TCP UDP ICMP Данные./snort -v./snort -vd./snort -vde IP TCP UDP ICMP Данные IP TCP UDP ICMP

Packet Logger Запись содержимого пакетов в файл./snort –vde –l./log подкаталог log в текущем каталоге

Intrusion Detection System Обнаружение событий./snort –vde –l./log – c snort.conf Правила срабатывания (контролируемые события)

Практическая работа 13 Работа с программой Snort