| IDS a IPS | |||||
|
| POPIS: | |||
IDS/IPS
Intrusion Detection lze definovat jako "... akt odhalování akce, které se pokoušejí narušit důvěrnost, integritu či dostupnost zdrojů." 1Přesněji řečeno, cílem detekce narušení je identifikovat subjekty, pokoušet se rozvrátit bezpečnostní kontroly na místě.
Běžné typy Intrusion Detection:
detekce narušení sítě na bázi pokouší identifikovat neoprávněnému nedovolené a anomální chování založenou výhradně na provozu v síti. Síť IDS, buď pomocí síťového kohoutek, span port nebo rozbočovač shromažďuje pakety, které procházejí danou síť. Použití sebraná data, procesy systému IDS a vlajky jakýkoli podezřelý provoz. Na rozdíl od systému prevence narušení, což systém detekce narušení není aktivně blokovat provoz v síti. Role sítě IDS je pasivní, pouze shromažďování, identifikace, logování a varování. Příklady Network IDS:
Často označované jako HIDS, detekce narušení založené hostitel pokouší identifikovat neoprávněnému nedovolené a anomální chování na konkrétní zařízení. HIDS obecně zahrnuje agenta nainstalovaného na každém systému, sledování a upozorňování na lokálním operačním systému a aktivitu aplikace. Instalovaný agent použije kombinace podpisů, pravidly a heuristiky identifikovat neoprávněné aktivity. Role hostitele IDS je pasivní, pouze shromažďování, identifikace, logování a upozorňování. Příklady HIDS:
Fyzikální detekce narušení je akt identifikace hrozeb pro fyzické systémy. Fyzikální detekce narušení bezpečnosti je nejčastěji vidět, jak fyzické kontroly zavedeny s cílem zajistit CIA. V mnoha případech se systémy detekce fyzické neoprávněné vniknutí působit jako systémů prevence stejně. Příklady fyzického narušení detekce jsou následující:
prevence narušení následuje stejný proces shromažďování a identifikační údaje a chování, s přidanou schopnost blokovat (zabránění) aktivitu. To lze provést pomocí sítě, hostitele a fyzických systémů detekce narušení.
Jedná se o SANS Intrusion Detection a Guide Response FAQ autora. Zakládající přispěvatelé do FAQ jsou:
Prosím, dejte mi sdílet naše vize pro tento projekt. Doufám, že společně můžeme vytvořit užitečný dokument k pomoci lidem dozvědět více o detekce narušení. Když uživatel klikne na zápis do seznamu otázek, odpověď bude přesné, jasně napsáno, up-to-date esej, nebo bílý papír ve stylu dokumentu. K tomu, weare žádají lidi, aby přijaly otázky, napsat kvalitní odpovědi, a držet je up-to-date.
Pro účast, prosím, rozhodne se o novém otázce. Příští, napsat dobrou odpověď doplněný odkazy, diagramy a příklady podle potřeby. Obecně platí, že vaše odpověď by měla být tři až pět odstavce dlouhá s úvodem, část těla, a uzavření. Prosím pošlete jednu odpověď na e-mailové zprávy! Adresa pro odeslání odpovědi je následující: info@sans.org s "vniknutí" jako předmět. SANS předá odpověď na mně. Prosím pošlete soubor buď jako ASCII text nebo jako dokument Microsoft Word. Chcete-li být připsány za vaši práci, dát své jméno a organizaci v dolní části souboru.
Poznámka: Pokud si vyberete pre-existující otázku, budu se pokusí sloučit dva kusy, ale je to moji výzvu, jak to udělám. Pokud nechcete, aby se vaše otázka up-to-date, nebo je-li vaše odpovědi neodpovídají celkovou kvalitu FAQ, budu muset nahradit odpovědi jiných autorů. Budu se snažit, aby se zabránilo dělá to, a vy můžete pomoci tím, že i nadále aktualizovat své otázky.
Budeme přezkoumat svou odpověď na přesnost, a pokud si nejsme jistí materiálu, pošlu ho do FAQ etickou komisí, která je složena ze zakladatelů a FAQ kdokoliv jiný mohu donutit :) dostat své číst dál odpověď. Ještě jednou děkuji za dobrovolnictví. Nemohu se dočkat, až uvidím svou odpověď (y)!
Stephen Northcutt
SANS Institute
ředitel výzkumu pro EZS a Response
V případě, že útok pocházel ze systému, který má přímé napojení do systému s žádným bránu mezi nimi, pak můžete použít adresu MAC. Ale pokud brána je v cestě, pak brána nahradí MAC adresu odesílatele s vlastní adresu. V důsledku toho je možné trasovat útok pouze na bránu. V případě, že brána umožnila rozsáhlá těžba, můžete zvážit hledání souboru protokolu pro více informací.
Budete muset starat. Ber to takhle ...
Předpokládejme, že non-descript auto začíná turné po svém okolí, odepsat adresu každého domu. Lidé v autě jsou zřejmě při pečlivé poznámky o každém domě. A začnete pozorovat, že ti samí lidé vracejí ke kontrole sousedství v různých časech během dne i v noci. By ti to nevadí? To by si jistý obtěžovat mě.
Rozhovory s útočníky odhalit dva významné trendy: Jsou ochotni investovat spoustu času a energie na průzkum, a tam je spousta informací o cíli, který může být snadno detekována. Obránci musí být také informováni o sofistikovanosti moderních síťové skenování nástrojů, jako Nmap. S nmap může útočník zřejmě určit operační systém terče, jeho náchylnost k číselnému predikce TCP sekvence, a jaké služby běží. Thatâs hodně informací, které mají dát pryč, a umožňuje útočníkům umístit exploity specifické cíle, které chtějí zaútočit.
To je to, co tito lidé dělají svým sítím. Jsou kontroluje, jaké stroje jsou žijí na svých sítích, když jsou stroje zapínat a vypínat, a které stroje reagovat na které typy pokusů o mapování. Jediným důvodem, proč shromažďovat tento druh inteligence, o svých sítích je využít informace v nějaké cestě.
Osobně nemám rád využívána, že ne?
Je velmi obtížné napadnout počítač aniž by se změnila systémový soubor, takže soubor dáma integrity jsou důležitou schopnost detekce narušení. Dáma integrity souboru počítá kontrolní součet pro každý hlídané souboru a uloží toto. V pozdější době si můžete vypočítat kontrolní součet znovu a otestovat aktuální hodnotu proti uloženou hodnotu určit, zda soubor byl změněn. Dáma integrity souborů je schopnost, že byste měli očekávat s jakýmkoli komerčním systémem detekce narušení hostitelské bázi.
Primární kontrolní součet, který byl použit pro to bylo 32 bit CRC (cyklická redundantní kontrola). Útočníci prokázaly schopnost upravit soubor způsoby, kontrolní součet CRC nezjistil, a proto se doporučují silnější kontrolních součtů známé jako kryptografických hash. Příklad kryptografických hash patří MD5 a snefru.
Jedním z problémů při používání kontrolu integrity souborů je falešně pozitivní problém. Při aktualizaci souborů nebo použít systémové záplaty to změní soubor. Vytvoření počáteční databáze signatur je snadné, držet ji v aktuálním stavu je mnohem těžší. Nicméně, i když jen spuštění kontroly jednou (při první instalaci systému) to může být stále velmi cenné. Je-li někdy obavy, že systém byl kompromitován můžete spustit kontrolu znovu určit, které soubory mají, nebo nebyly změněny.
Druhá výzva s dámou integrity souborů je, že musíte mít původní systém při vytváření první referenční databáze. V opačném případě může být vytváření kryptografických hash narušenou systému, zatímco pocit tepla a fuzzy, že jste se provádí dobré zabezpečení. Je také velmi důležité, že budete ukládat referenční databáze v režimu offline nebo útočník může ohrozit systém a skrýt své stopy změnou referenční databázi.
Kontrola integrity nástroje patří nástražného drátu, ( ftp://coast.cs.purdue.edu/pub/tools/unix~~dobj nebo www.tripwiresecurity.com ) L5 a SPI (SPI je k dispozici pro uživatele z vlády USA pouze z http: // ciac.llnl.gov).
Nejsou žádné zcela zralé otevřené standardy ID v současnosti. Nicméně, my se blíží.
Internet Engineering Task Force (IETF) je orgánem, který vyvíjí nové internetové standardy. Mají pracovní skupinu pro vypracování společného formátu pro výstrahy IDS. Skupina se propracoval fázi požadavků, a design je v podstatě upřesněn, přestože detaily i nadále měnit. Předběžný zavádění do praxe je zřejmě možné, i když implementace bude muset změnit, protože standard je dokončena. Konstrukce zahrnuje zasílání upozornění na bázi XML přes HTTP, jako je formát komunikací. Velká pozornost byla věnována potřebám IDS analýzy, a k tomu, že protokol práci přes firewally přímočaře.
Další přispěvatelé jsou vždy vítány. IETF pracovní skupiny jsou otevřena každému odborně způsobilé osoby, která chce přispět. Jednotlivci zastupují své vlastní názory na nejlepší způsob, jak vyřešit problém, spíše než na pořad jednání svého zaměstnavatele.
Přehled o pracovní skupiny je http://www.ietf.org/overview.html a archiv mailing list je http://www.ietf.org/maillist.html .
Všechny dokumenty Pracovní skupina může být dosaženo prostřednictvím http://www.ietf.org/html.charters/wg-dir.html .
K dispozici je také snaha o T4 výboru ISO je vypracovat rámec detekce narušení. Stav tohoto úsilí je v současné době znám, a pokusy podle autora FAQ položky k dosažení významných osobností tohoto úsilí bylo neúspěšné.
Společný Intrusion Detection Framework (CIDF) byl pokus Defense Advanced Research Projects Agency USA Govt je (DARPA) rozvíjet Interchange Format IDS pro použití výzkumníky DARPA. CIDF nebylo zamýšleno jako standard, který by mít vliv na komerčním trhu; to byl výzkumný projekt. Vývoj CIDF je v současnosti nečinná. CIDF používal Lisp jako formátu pro výměnu informací o událostech souvisejících s narušení, a definoval velký soubor primitiv pro použití v těchto zprávách. Více informací lze nalézt na webových stránkách CIDF na http://gost.isi.edu/cidf/ .
Obtížnost provádění IDS do přepínané prostředí vychází ze základních rozdílů mezi standardními rozbočovače a přepínače. Náboje nemají žádnou představu o spojení, a proto bude echo každý paket do každého portu na rozbočovači s výjimkou pouze port paket přišel v dál. Spínač je však založen na spojení, když paket přijde do dočasného připojení v přepínači-li se na cílový port, a pakety jsou předány. Takže v náboji prostředí můžeme umístit naše senzory prakticky kdekoliv, zatímco u přepínačů musí být specifické řešení použity k zajištění senzor je schopen vidět provoz potřeba.
Současné možnosti pro toto jsou kohoutky, huby a kostry porty. Překlenutí portu konfiguruje přepínač chovat jako rozbočovač pro určitý port. Například na obr-1, chceme-li sledovat spojení mezi přepínačem a Machine zdrojů. K tomu říci přepínač překlenout data z portu stroje zdrojů do přístavu IDS. To může být provedeno s přenášet data, Příjem dat nebo obojí. Některé současné přepínače nelze spoléhat na projít 100% provozu na rozložený portu, takže útoky mohl jít un-si všiml, i když je systém IDS nakonfigurován tak, aby hledat útoku. Přepínače rovněž umožňují pouze jeden port, které mají být rozložené v čase, takže sledování více počítačů může být obtížné nebo nemožné.
Použití rozbočovačů nebo TAPS je velmi podobné řešení, rozbočovač nebo kohout je umístěn mezi připojením, které mají být monitorovány. To je obvykle mezi buď dva spínače, směrovač a přepínač nebo server a přepínač, atd. Na obrázku 2 je náboj umístěn mezi strojem zdrojů a spínačem. To umožňuje provoz na stále proudit mezi přepínačem a nedostatek zdrojů, zatímco vlastnosti náboje způsobují kopii dopravy, které mají být zkopírovány dolů na IDS. Toto, jako SPAN port je vhodná pouze pro jednotlivé stroje. Několik strojů na náboji by způsobilo problémy v síti a odstranit výhody přepínané řešení. Kromě toho, aby se tolerantní hub poruchy zvýší náklady na řešení dramaticky. Kohouty jsou z konstrukční vadou tolerantní mající hlavní spojení (tj spojení mezi zdrojem a spínačem), hardwired do zařízení, zabraňuje selhání.
Obrázek 3 ukazuje kohout monitorování jednoho počítače zdrojů. V kohoutku je jednosměrný a předává provoz z přepínače a strojem zdrojů pouze na IDS. Tím se zabrání komunikaci procházející od IDS k přepínači nebo Resource stroji ani nemůže být zaměřena na provoz IDS. Vzhledem k tomu, Tap je jednosměrný můžeme směrovat provoz z několika kohoutků zpět do rozbočovače, které mají být monitorované systémem IDS, aniž by způsobily problémy se sítí, je to znázorněno na obrázku 4.
Honey Pot Systems vysvětlil
Loras R. I
Systém Honey Pot je nastaven tak, aby bylo snazší kořist pro útočníky než skutečná produkčních systémů, ale s drobnými úpravami systému tak, aby jejich aktivita může být zaznamenána z dohledat. Obecným myšlenka je, že jakmile vetřelec pronikne do systému, budou vracet pro příští návštěvě. Během těchto následných návštěvách, doplňující informace mohou být shromažďovány a další pokusy o souboru, bezpečnost a přístupový systém na medu lze monitorovat a uloží.
Obecně platí, že existují dvě populární důvody nebo cíle za zřízení Honey Pot:
1. Přečtěte si, jak vetřelci sonda a pokoušet se získat přístup ke svým systémům. Hlavní myšlenkou je, že od záznam o intruderâs činností je drženo, můžete získat vhled do metodiky útočných lépe chránit své skutečné výrobní systémy.
2. Shromažďovat soudní údaje potřebné pro pomoc při dopadení nebo stíhání narušitele. Jedná se o druh informací často nutná k zajištění pracovníků donucovacích orgánů s údaji potřebnými ke stíhání.
Společný způsob uvažování při zřizování Honey Pot systémů je, že je přijatelné použít lži nebo podvodu při jednání s vetřelci. Co to znamená pro vás při nastavování Honey Pot je, že některé cíle je třeba zvážit.
Tyto cíle jsou:
1. Systém Honey Pot by měla vypadat jako generické jak je to možné. Pokud zavádíte systém Microsoft NT založené, měl by Zdá se, že potenciální vetřelce, že systém nebyl změněn nebo se mohou odpojit před hodně informace jsou shromažďovány.
2. Musíte dávat pozor na to, co provoz umožníte vetřelec poslat zpět k Internetu pro vás Donát chtít, aby se stal bod startu pro útoky proti jiným subjektům na internetu. (Jedním z důvodů pro instalaci Honey Pot uvnitř firewallu!)
3. Budete chtít, aby váš Honey Pot zajímavé stránky umístěním informací "fiktivní" nebo aby to vypadalo, jako kdyby vetřelec našel server "Intranet", atd. Očekávat, že stráví nějaký čas, aby vaše Honey Pot se objeví legitimní, aby vetřelci bude trávit dostatek času vyšetřování a studoval systém tak, že jste schopni shromáždit co nejvíce informací forenzní jak je to možné.
Některé námitky existují, které by měly být považovány při zavádění systému hrnec medu. Některá ta nejdůležitější patří:
První námitka je úvaha, že v případě, že informace získané ze systému Honey Pot se používá pro účely stíhání, může nebo nemusí být považovány za přípustné u soudu. Zatímco informace týkající se tohoto problému je obtížné sehnat, který byl najat jako soudní znalec pro účely forenzní pro obnovu dat, mám vážné výhrady k zda nebo ne všechny soudy budou akceptovat jako důkaz nebo v případě non-technické poroty jsou schopni pochopit legitimita to jako důkaz.
Druhou hlavní námitka k posouzení, zda je hacking organizace budou demonstrace proti organizaci, která stanovila "pasti" a zpřístupnit je veřejnosti cíl pro ostatní hackery. Příkladem tohoto druhu činnosti lze snadno nalézt na některý z populárních hackerâs míst nebo jejich publikací.
Hladiny nebo vrstvy Tracking
Informace poskytované na vetřelce závisí na úrovních sledování, které youâve povolené na Honey Pot. Společné sledování úrovně zahrnují firewall, systémové protokoly na Honey Pot a cvičenými na bázi nástrojů.
Záznamy Firewall
Firewally jsou užitečné jako součást celkového designu Honey Pot z mnoha důvodů. Většina firewallů poskytuje funkce activity-protokolování, které mohou být použity k identifikaci, jak je narušitel pokouší dostat do Honey Pot. I přirovnávají logy firewallu ke směrovači logů; oba se dají nastavit pro zachycení a uložení paketů předem určeného typu. Nezapomeňte, že při nastavení firewallu, měli byste za normálních okolností chtít zaznamenávat všechny pakety jdoucí do systému Honey Pot, jak by měl být žádný legitimní důvod pro provoz jít do nebo z Honey Pot.
Přezkoumání pořadí, sekvence, časová razítka a druh paketů útočníkem používají k získání přístupu k tobě Honey Pot vám pomůže určit nástroje, metodika používá vetřelcem a jejich záměry (vandalismus, krádeže dat, vzdálený vyhledávací bod startu, atd.). V závislosti na detail možnostech těžby na vašem firewallu může nebo nemusí být schopna získat značné informací z těchto protokolů.
Další užitečnou funkcí mnoha firewallů je jejich schopností oznámení. Většina firewallů může být konfigurován pro odesílání upozornění e-mailem nebo pager vás bude upozorňovat na dopravní jít do nebo z Honey Pot. To může být velmi užitečné při nechat si zkontrolovat vloupání aktivita Ačkoliv ITAS děje.
Unix a Microsoft NT Zdá se, že lví podíl na trhu internetových serverů. Naštěstí oba operační systémy mají funkce protokolování zabudované do svých operačních systémů, které pomáhají určit, jaké změny nebo pokusy byly provedeny. Je třeba poznamenat, že out-of-the pole Unix nabízí vynikající funkce protokolování ve srovnání s Microsoft NT.
Některé z jejich out-of-the box protokolování možnosti jsou mimo jiné:
1. Microsoft NT
a. Bezpečnostní A Dostupné z prohlížeče událostí
b. Správa uživatelů â je třeba aktivovat pomocí Správce uživatelů
c. Běh opravuje Netsvc.exe je třeba spustit ručně a ve srovnání s počátečním stavem.
2. Unix
a. Protokoly uživatel aktivita a utmp, wtmp, btmp, lastlog, zprávy
b. Syslogd â významnou možností je, že se může přihlásit ke vzdálenému serveru! Rozsah zařízení a prioritám dostupným prostřednictvím syslogd je velmi dobrá.
Tam jsou také k dispozici, které výrazně zvyšují informace, které mohou být shromážděny několik nástrojů. Mnohé z těchto nástrojů Unix jsou public domain, zatímco mnoho z nástrojů Microsoft NT nejsou.
Cvičenými nástroje poskytují možnost vidět všechny informace nebo paketech mezi firewallem a systémem Honey Pot. Většina štěnicemi dispozici jsou schopné dekódovat běžné TCP paketů, jako Telnet, HTTP a SMTP. Použití sniffer nástroj vám umožní vyslýchat pakety blíže určit, jaké metody vetřelec se pokouší použít v mnohem více detailů než firewall nebo systémové logování osamocený.
Dalším přínosem pro cvičenými nástroje je, že mohou také vytvářet a ukládat soubory protokolu. Soubory protokolu pak mohou být uloženy a použity pro forenzní účely.
Implementace řešení Honey Pot jako součást bezpečnostního systému v první řadě znamená rozhodnutí o tom, zda ke koupi komerční řešení, nebo se rozhodnou vytvořit svůj vlastní.
Existuje celá řada nástrojů public domain a software k dispozici, které mohou být užitečné pro vás pomoci nastavení Honey Pot, stejně jako mnoho míst věnován na pomoc vás provede celým procesem. Většina nástrojů Zdá se, že vznikl na platformě Unix, přičemž mnoho z nich bylo přeneseno do aplikace Microsoft NT.
Co budete muset vytvořit nebo rozvinout svůj vlastní systém Honey Pot jsou minimálně z následujících složek a značnou dobu konfigurace:
1. Pracovní stanici nebo PC. Zdá se, jako by pracovní stanice s procesorem Intel je v pořádku.
2. Operační systém. Dávám přednost BSD Unixu nebo RedHat protože nejsou k dispozici pro platformu Unix, než NT více nástrojů.
3. Sniffer balíček.
Existuje celá řada komerčních systémů Honey Pot k dispozici. Operační systémy nejrozšířenější jsou podporovány Microsoft NT a Unix. Jak mnozí z komerčního produktu byly uvolněny v posledních 12 A 18 měsíců, některé z nich jsou stále ještě v poměrně rané verze. Snažil jsem se najít informace týkající se podílu na trhu, ale wasnât schopni najít žádné publikované statistiky.
Některé z komerčních systémů Honey Pot K dispozici jsou:
1. Network Associates, Cybercop Sting
2. Tripwire, Tripwire
3. Fred Cohen a kolegové, podvod Toolkit
4. Regresní Technologies, ManTrap
Schwartau, Winn. "Lhát hackery je v pořádku podle mě: Část 9 9" 7. července 1999. URL: http://www.nwfusion.com/newsletters/sec/0705sec2.html?nf~~HEAD=pobj 21.června 2000
Young, Kevin. "Schématu Fly-strip zabezpečení." 15.listopadu 1999. URL: http://www.zdnet.com/computershopper/stories/reviews/0,7171,2392030,00.html 21.června 2000
Ranum, Marcus. "Intrusion Detection: Výzvy a mýty." URL: http://www.nfr.net/forum/publications/id-myths.html 21.června 2000
Duvall, Mel. "Nová Decoy Technology navržen tak, aby Sting hackery." 1 června 1998. URL: http://www4.zdnet.com/intweek/daily/980601k.html 21.června 2000
Spitzner, Lance. "Chcete-li Postavit Honeypot." 07.06.2000 7.června 2000. URL: http://www.enteract.com/~lspitz/honeypot.html 22.června 2000
Honeypot je prostě systém, program nebo soubor, který nemá vůbec žádný smysl ve výrobě. Proto můžeme vždy předpokládat, že pokud je k přístupu ke Honeypot, to je z nějakého důvodu nesouvisejícího s vaší organizaci účelu.
Tahounem všech honeypotů je Honeyd. To simuluje kompletní prostředí a je k dispozici od http://www.honeyd.org/.
Dalším typem honeypot se nazývá Proxypot, což je proxy server bez kontroly přístupu. Otevřená Proxy honeypot umožňuje internetové klientům připojit se a dělat požadavky na proxy server pro připojení k internetu hostitelů, a to i těch, které jsou za proxy server. To umožňuje serveru provoz, které mají být zkoumány odhalit různé hrozby, včetně distribuovaných heslo k účtu quessing, Nessus web zranitelností a proxy, řetězení.
K dispozici je také honeypot program se nazývá podvod Tool Kit, který lze stáhnout z http://www.all.net/dtk/index.html . Můžete nakonfigurovat odpovědi pro každý port.
Honeypots jsou pravděpodobně jedním z posledních bezpečnostních nástrojů by organizace měla realizovat. Je to především kvůli obavám, že někdo může používat Honeypot útočit na jiné systémy.
A "honeypot" je nástroj, který může pomoci ochránit o síť před neoprávněným přístupem. Honeypot neobsahuje žádná data a aplikace důležité pro společnosti, ale má dost zajímavá data k návnadě hackera. Honeypot je počítač v síti jediným smyslem je vypadat a chovat se jako legitimní počítači, ale ve skutečnosti je nakonfigurován k interakci s potenciálními hackery takovým způsobem, aby zachytit podrobnosti o jejich útoků. Honeypots jsou známé také jako obětní beránek, klamné cíle, nebo léčce. Čím více realističtější interakce, tím déle útočník zůstane obsazené na Honeypot systémech a od svých produkčních systémů. Čím delší je hacker zůstává použití Honeypot, tím více budou zveřejněny informace o jejich techniky. Tato informace může být použita k identifikaci, co jsou po, jaký je jejich úroveň dovedností, a jaké nástroje dělat používají. Všechny tyto informace jsou pak použity k lepší přípravě vaší síti a obranu hostitele.
Honeypot může být použita k rozšíření nasazení systému IDR. Některé z problémů s komerčním IDR zahrnují neschopnost pro detekci nízkou úroveň útoků, technik či nástrojů, které jsou nové nebo dosud známy, nebo použití technik, které se mohou objevit jako legitimní činnost uživatele. Do jisté míry je honeypot je rovněž předmětem chybí nové útoky. Nicméně, honeypot je jednoznačně schopen vám vědět, že někteří hacker je ve vaší síti dělat věci, které nemají obchodní dělá. Honeypot je může všimnout, protože pokud jde o další bezpečnostní opatření (včetně IDR) jsou oprávněným uživatelům.
Jako obecné pravidlo lákadla může být velmi užitečné pro organizace, které mají prostředky k jejich udržení. Pro organizace, které nemají bezpečnostní personál, aby pozorně sledovat Honeypot organizace má, v nejlepším případě, vytvořil zranitelný systém, který není sledován a v nejhorším případě, systém, který může být zneužit a použit k útoku na jiné systémy. Tam je potenciální odpovědnost spočívá v běhu záměrně zranitelné systémy.
První věc, kterou musíte udělat, je přemýšlet o tom, co je ku prospěchu organizace očekává, že z této investice bude muset udělat. Jedním dobrým výchozím místem je podívat se na dopad minulých průniky. V případě, že společnost byla předmětem nedávné průniky a hacking činnosti, budou vědomi rizik z nutnosti. Studium minulosti vniknutí a reakce společnosti budou užitečné při formulování obchodní případ pro detekce narušení produkty. Například produkty pro detekci narušení by se lovilo vniknutí dříve úspory $ x.xx a rozpaky vniknutí v tisku.
Náklady na předchozí průniků bude přínosem při přípravě předběžné analýzy nákladů a přínosů. Náklady na vniknutí mohou zahrnovat výpadky výroby, negativní vztahy s veřejností, které by mohly ovlivnit cenu akcií dané společnosti, sabotáž kritických informací vede ke špatným rozhodnutím, nebo neoprávněnému přístupu nebo odcizení důvěrných informací vedoucí ke ztrátě konkurenční výhody. Pořizovací cena zahrnuje i náklady spojené s vyšetřováním, právní, soudní a zpravodajství vedení.
Pochopení výhod detekce narušení musí být vyvinut s obecnou známost s detekce narušení bezpečnosti výrobků v současné době na trhu. Cíle a cíle detekce narušení bezpečnosti výrobků je třeba chápat. Pochopení vztahu mezi případových cíli podnikání a zájmů konkrétních produktů pomáhá uvést, v čem je možné dosáhnout a bude také připravit cestu pro výběr produktů, které splňují společnost IDS potřebuje. Bohužel, tam jsou k dispozici na detekci narušení není mnoho referenční textové knihy. Webové stránky, bílé knihy, brožury produktu a detekce narušení konference bude poskytovat dobrý výchozí bod pro sestavení těchto informací. Diskutovat EZS s dalšími organizacemi, které zavedly detekce narušení může ukázat jako velmi užitečné.
Průniky a incidenty není jediný možný přínos IDS. Další zajímavá událost je citlivé informace jsou zaslány v jasné. IDS vám umožní vyzkoušet vody pro Data Loss Prevention (DLP), zvláště v případech, klasické použití, jako jsou čísla sociálního zabezpečení, kreditních karet a podobně. DLP řešení je velmi nákladné a vyžaduje přidání zaměstnance zvládnout počet událostí velká organizace je pravděpodobné, že vidět. Pomocí open source Snort, je možné získat představu o tom, kolik událostí za měsíc se vyskytují. Dalším potenciálním zajímavá událost je případ pracovníků vysílajících citlivé nebo důvěrné informace mimo k Internetu v jasné vybírají technologií, jako je FTP nebo e-mailu, který není šifrován. Je možné pracovat s obchodními jednotkami pro identifikaci slova a fráze, které pravděpodobně indikují citlivé informace.
Dalším krokem je přeložit tento materiál pro správu. Bílé knihy a prezentace jsou dobré mechanismy ke zvýšení povědomí a porozumění detekce narušení managementu. Cílem je vytvořit dobré obchodní případ pro použití detekce narušení. Náklady na nedávné vloupání podle vniknutí do společnosti pomůže podpořit obchodní případ, i když pouze na neoficiální úrovni. Jistě, nedávné související případy z médií by pomohlo posílit potřebu detekce narušení. Vedení budou s větší pravděpodobností jednat, když se obchodní případ silně kloubové a jasně vztaženy k výhodám detekce narušení výrobků.
detekce narušení se nebude zdarma, a to iv případě, že používáte open source produkt. Očekáváme, že čas na výzkum, nabývat, konfigurovat a implementovat být mnohem nižší než celkový každodenní správu informací. Také, přemýšlet o tom, paměťové strategie v předstihu. Chcete zachovat zajímavých událostí, které byly zjištěny? Mohou existovat zákonné požadavky, jak zachovat tyto za pět nebo dokonce sedm let? I když používáte s nižšími náklady softwarový RAID pět udržovat tyto výstrahy, budou náklady měřitelná. Také organizace často chtějí ukládat záznamy v jejich SIEM. Existuje mnoho výhod, ale to taky něco stojí. Když budete prezentovat potenciální přínos pro organizaci, snažím se být co nejpřesnější s přihlédnutím k nákladům.
V ideálním případě je senzor na sdělení monitoru měla být zašifrována, aby se zabránilo zachycování nebo změny, které mají být provedeny. Zkušení narušitelé budou vědět, hledat Intrusion Detection související s provozem a mohou mít i schopnost zachytit provoz. detekce narušení senzory mohou posílat tři typy dat na monitoru:
Jistě, všechny tyto informace narušení by bylo užitečné, aby vetřelce. Například vetřelec mohl zachytit a mazat data ani výstrahy tak, že nikdy dělat to na monitoru. Proto monitor nikdy obdrží upozornění a vniknutí může zůstat nepovšimnuto. Dokonce i v případě, že data nikdy změněn, skutečnost, že to bylo potenciálně zranitelný vůči změnám by mohl dělat to nepoužitelný jako důkaz u soudu. Šifrování komunikace čidla nebudou zakrývat přítomnost senzorů, ale bude zakrývat celý obsah od těch, kteří se mohou zachytit kopie dat ze sítě. Monitor bude vědět, jestli padělané zprávy jsou generovány, protože nebudou zašifrována. Šifrování také ujišťuje, že výstrahy a další pokračovací aktivity nejsou založeny na nepravdivých nebo falešných zpráv.
Dalším řešením pro ochranu tohoto sdělení je to všechno na samostatnou síť určená pro detekci narušení senzory a monitory. Samostatnou sítě nemusí být vyhodnotit potenciální narušitele a snížilo by riziko, ze ne pomocí šifrování. Provoz senzor není ve stejné síti, kde je detekce útoků je vyroben. Další výhodou je, že oddělená síť bude méně náchylné k popření servisních útoků, jejichž cílem je zneškodnit detekce útoku obrany. Nevýhodou této architektury je náklady na údržbu samostatnou síť pro detekci průniků.
Detekce narušení produkty nabízejí různé šifrovací schopnosti. Prosím, poraďte se se svým dodavatelem pro více informací o svých šifrovacích schopností.
Detekce narušení bezpečnosti je zapotřebí todayâs výpočetních prostředí, protože to je nemožné držet krok se současnými i potenciálními hrozbami a zranitelností v našich výpočetních systémů. Životní prostředí se neustále vyvíjí a mění poháněný nových technologií a internetu. Aby toho nebylo málo, hrozby a zranitelnosti v tomto prostředí jsou také neustále vyvíjí. Detekce narušení produkty jsou nástroje, které pomáhají při zvládání hrozeb a slabých míst v tomto měnícím se prostředí.
Hrozby jsou osoby nebo skupiny, které mají potenciál ohrozit váš počítačový systém. Ty mohou být zvědaví teenager, nespokojený zaměstnanec nebo špionáž od konkurenční společnosti nebo zahraniční vlády. Hacker se stala nemesis pro mnoho firem.
Chyby zabezpečení jsou nedostatky v systémech. Zranitelnosti mohou být zneužity a použity k ohrozit bezpečnost počítače. Nové zranitelná místa se objevují po celou dobu. Každá nová technologie, produktu nebo systému s sebou přináší novou generaci chyb a nezamýšlené konflikty nebo nedostatky. Také možné dopady ze zneužití těchto chyb se neustále vyvíjí. V nejhorším případě k zásahům může způsobit výpadky produkce, sabotáž kritických informací, krádeže důvěrných informací, hotově, nebo jiných aktiv, nebo dokonce negativní public relations, které mohou mít vliv na cenu akcií companyâs.
Výrobky Intrusion Detection jsou nástroje, které mohou pomoci při ochraně společnosti před narušením tím, že rozšíří dostupné možnosti pro řízení rizika před hrozbami a zranitelností. Funkce detekce narušení může firmě pomoci zabezpečit jeho informace. Tento nástroj by mohl být použit k detekci narušitele, identifikovat a zastavit vetřelce, vyšetřování podpory zjistit, jak narušitel dostal dovnitř, a zastavit exploit z používání budoucích vetřelci. Oprava by měla být použita v rámci celého podniku na všechny podobné platformy. Detekce narušení bezpečnosti výrobků se může stát velmi mocný nástroj v soupravě nářadí na informační bezpečnosti practitionerâs.
Objem paketů přenášených síťovém segmentu je důležitým aspektem při použití detekce narušení v tomto segmentu. Tam je limit na počet paketů, které senzor detekce narušení sítě lze přesně analyzovat pro potenciální vniknutí v daném časovém období. Část objemu síťového provozu, která přesahuje tuto hranici hlasitosti je předmětem nedostávají úplné a přesné analýzy narušení. Čím vyšší je úroveň dopravní sítě a komplexnější analýzu, tím vyšší je chyba faktor může být.
Je důležité vědět, práh pro detekci vniknutí produktu a konfigurace, které používáte a jak produkt reaguje, když je objem přesáhne tuto hranici výkonu. Selhání detekce narušení monitorů jsou patrné vysoké dopravní situaci a obecně způsobeno nástupem chyby zpracování senzoru před nástupem podobné chyby procesu v samotné síti. Tyto chyby jsou obecně předčasné vyřazení z kopírovaných síťových paketů v analýze fázi zpracování přijmout více příchozích paketů.
Compaq Computer Corporation zveřejnila výsledky analýzy výkonnosti RealSecure od Internet Security Systems, Inc. (ISS) v jejich aktivní odpovědi (11 1998 ECG077 / 1198). Studie je uvedeno:
âPerformance Testování bylo provedeno s použitím nástrojů z Národního Software Testování Labs (NSTL) metodiky softwarový firewall a Netperf společností Hewlett-Packard pro vytváření malých, středních a těžkých datových přenosech zátěže s protokolem HTTP. Program Netperf byl použit pro simulaci Telnet sezení. Použití obou nástrojů povoleny pro standardizaci datových zatížení ve všech třech kategoriích: malé, střední a těžké. Tyto datové zatížení byly použity v každém testu. Odkazují na výkon firewallu bílých knih na http://www.compaq.com pro více informací o NSTL firewall srovnávací methodology.â
v prostředí Windows NT výsledky analýzy výkonu Compaq byly následující:
Zátěžová zkouška | NSTL MB / s load | % Z události zaznamenané RealSecure |
NSTL (~ T1) | ~ 2 Mb / s | 66 |
NSTL (~ 5 Mb) | ~ 5 Mb / s | 67 |
NSTL Small | ~ 13 Mb / s | 75 |
NSTL Medium | ~ 25 Mb / s | 33 |
NSTL Heavy | ~ 49 Mb / s | 10 |
"Jak se zvyšuje zatížení od malých až po těžký, počet útoků zaznamenané RealSecure dramaticky sníží. Za použití velmi malých zátěží pro simulaci provozu v typickém prostředí pod 10 MB / s, oba 2 Mb / s a 5 MB / s zatížení přihlášen 66% ozvěna událostí. pro malé zatížení, RealSecure zaznamenal 75% všech útoků. pro normální zatížení, RealSecure zaznamenal 33% akcí. a konečně, pro těžký náklad, pouze 10% bylo zaznamenáno. "*
Každá detekce narušení výrobek má jinou úroveň prahu účinnosti zpracování a prahová hodnota bude pravděpodobně zlepší s budoucími verzemi svých produktů.
Strategie pro obranu proti této situaci obvykle vyžaduje použití různých místech senzoru (obrany do hloubky) a jejichž cílem je vyhodnotit každý paket na různých místech v architektuře. To může zahrnovat rozmístění senzorů v sítích segmentech od sítě body škrtícího ventilu kdy intenzita dopravy je vysoká. To může mít za následek kontrolu stejném paketu vícekrát, nebo dokonce v některých paketů nikdy níž je prováděna kontrola, v závislosti na tom, jak paket prochází síť. Případně rozdělit analýzu pro útoky mezi skupinami optimalizovaných snímačů s vysokým výkonem na stejném segmentu sítě. Tento koncept je pro rozdělení zátěže analýzy nad těmito více snímačů tak, že celé spektrum analýzy se provádí na každém paketu, ale každý paket zkontrolována na jiné nebezpečí od každého snímače. Pakety, které nejsou předmětem přezkumu v jednom segmentu sítě mohou být přezkoumány v jiných, nebo dokonce v hostitelské nebo databázové úrovni.
Za prvé, že odpověď je založena na tom, že to, co se děje ve virtuálním je zrcadlovým k tomu, co se děje ve fyzickém prostoru. Hackeři proniknout do sítí pro mnoho různých důvodů, většina z nich nezákonné. Hackeři obecně říci svým přátelům, protože jim získává uznání v této skupině. Jejich skupina může být rovněž konkurovat jiným skupinám hackerů na více či lépe úspěšných vloupání. Toto je velmi podobné tomu, jak gangy chovat v našich fyzických městech. Hodně z tohoto chvástání se děje přes internet, kde může být a je sledována mnoha lidí. To zahrnuje každého od zločinců, jiné hackery a tisku, na vymáhání práva, armády, zainteresované občany, bezpečnostní profesionály, a dokonce i vaše companyâs konkurentů.
Ostatní hackeři mohou být ve skutečnosti hacking upozornit na určitou věc, pro kterou se rozhodli šampiona. V tomto případě mohou shromažďovat a zveřejňovat na internetu skutečné důkazy o vloupání a / nebo kontaktujte přímo stiskněte tlačítko. Tato kombinace hacking a aktivismus "hacktivism", často se živí sítí a webových stránek, které nemají nic společného s problémem, který podporují. Nejviditelnější příčinou je na protest proti tomu, že mnoho z jejich přátel hackerů již byly uloveny a jsou ve vězení. Ostatní hackeři mohou být ve skutečnosti copycats. Mohou být aktivisty, kteří si přejí, aby protestovali nějaké sociální nespravedlnosti nebo ekologický problém, nebo obhajovat své stanovisko nebo víru. V obou případech se to stalo způsob, jak vzít jejich příčinu a to jak do kyberprostoru, as pomocí lisu, vzít záležitost zpět do fyzické říši ve formě, která tisk bude psát o, a že veřejnost bude číst o.
Někdy dobře míněné zaměstnanci jedné společnosti může být hacknutý řekne tisku. Zaměstnanec je opravdu znepokojen společnosti a domnívá se, že říkat tisku vyzve další kroky a pomoci společnosti. Tato informace je obvykle spolehlivější než údaje před hackery.
Tisková nadchl se pro vykazování hackerů vloupání. Možná proto, že více lidí jsou obeznámeni s touto technologií, takže tyto příběhy jsou srozumitelnější pak v minulosti. Možná, že lis má pocit, že více lidí cítí zranitelnost jejich systému. Možná, tisk rád aspekt "David a Goliáš", kde vzít malé hackery s omezenými prostředky na velké společnosti s velkým množstvím zdrojů. Skutečným důvodem, že tisk má rád hackerů vloupání příběhů je pravděpodobně kombinace všech těchto důvodů.
Jedním z nejnebezpečnějších a nejméně uznávané zranitelnosti pro domácí uživatele PC a podnikových sítí LAN / WAN je neoprávněný přístup přes vyhrazené připojení k Internetu. I když tento problém může existovat v rámci celé řady operačních systémů a typů připojení k internetu, bude tento dokument zaměří na Windows 9x s digitální účastnická linka (DSL) nebo kabelový modem internetové služby.
Probuzení
přístup k cenově dostupným vysokorychlostní internetové služby pro veřejnost má za následek exodus z tradičního připojení modemu - prostředí, v němž dynamické IP adresování poskytl často nepotvrzované vrstvu zabezpečení pro nechráněné systémy. I když si uvědomil, vynikající výkon, tito uživatelé jsou také stále více uvědomují bezpečnostní důsledky spojené s statické adresování a na plný úvazek připojení. Stává se znepokojivě běžné slyšet incidentů, kde domácí Anet připojeny systémy byly přístupné od sousedů nebo neznámými osobami.
Otevřenost systému Windows 9x
funkce v rámci Windows 9x byly navrženy tak, aby snadnost používání a sdílení informací (security rozhodně nebyl prioritou). Jednou z těchto funkcí je sdílení souborů a tiskáren - funkce, které vyžadují využití NetBIOS. Nesprávně podávané akcie mohou představovat jen mírné riziko v UseRAS lokální síti, avšak toto riziko se může rychle eskalovat po připojení k Internetu. DSL a servis kabelový modem může umožnit ostatním uživatelům na společné podsíti nebo segmentu přístup k těmto sdíleným prostředkům stejně snadno jako kliknutí na Okolní počítače. Všichni příliš často akcie nejsou chráněny heslem. Škodlivý činnost včetně montáže BackOrifice, Netbus nebo jiných takových programů může následovat, a v konečném důsledku narušení bezpečnosti ostatních připojených systémů - tj zajištěných vzdálený přístup sezení s podnikové sítě.
DSL a kabelový modem charakteristiky sítě
DSL a kabelových modemů sítě se může lišit v designu a uspořádání. Zásadní rozdíl mezi těmito dvěma je, že DSL sítě jsou zapnuté a uživatelé nesdílejí přepravní médium. Je možné, aby uživatel vidět další systémy v jejich podsíti, ale provoz je omezen na vysílání zdroje.
Kabelového modemu, sítě, na druhé straně, lze považovat za LAN. Mnoho uživatelů může sdílet společnou segmentu, a může tedy nejen vidět další vysílání UseRAS zdrojů, ale skutečná data proudy stejně. To nemusí být vždy případ, nicméně v případě, že ISP zavedla zvýšenou techniky filtrování, jako je DOCSIS (údaje o Cable Service Interface Specification). Důležité je, že člověk musí pochopit, že přístupová síť nechrání systém před útokem. Uživatel musí přijmout opatření k zajištění jejich počítač.
Ochrany systému
chránění k internetu připojen systém Windows 9x na plný úvazek nemusí být skličující úkol. Klíčové úvahy, které by měly být řešeny, jsou:
Doporučuje se také, že uživatel zná jeho / její připojení k Internetu. ISP může být kontaktován a požádány, aby poskytly údaje o připojení - tj: Je filtrování provozu k dispozici na UDP / TCP porty 137, 138 a 139, aby se zabránilo náhodnému soubor systému Windows a sdílení tisku? Je DOCSIS prováděny na kabelovém systému? Síť cvičenými může být použit k analýze typ provozu v místě připojení.
Bibliografie
McClure Stuart & Scambray, Joel. "Nové vysokorychlostní přístup k síti služby dát nechtěné čichačům opravdovou příležitost". 25. 01. 1999
http://www.infoworld.com/cgi-bin/displayArchive.pl?/99/04/o08-04.75.htm (11 Nov. 1999).
Livingston, Brian. "Bezpečnostní zařízení nabízejí uživatelům ochranu během" vždy "vysokorychlostního přístupu". 25.října 1999.
http://www.infoworld.com/cgi-bin/displayArchive.pl?/99/42/o10-43.60.htm (11 Nov. 1999).
Bezpečnostní psi. "Sdílení Internetu a zabezpečení kabelových modemů a xDSL výrobků."
http://www.securitydogs.com/secdog_sharing_prod.html (10 Nov. 1999).
CableLabs. "Bezpečnost v DOCSIS na bázi kabelového modemu Systems." 26.srpna 1999.
http://cablemodem.com/DOCSIS_Security.html (10 Nov. 1999).
Steven Sipes
10.09.2000
Úvod
Arzenál nástrojů k dispozici pro oba ochraně a proniká naše prostředí je skličující kvantitativně i schopností. Některé z těchto nástrojů jsou vysoce specializovaná na účely, zatímco ostatní jsou víceúčelové a slouží jako stavební kameny pro větší sady nástrojů. Jedním z takových nástrojů je síť cvičenými. Síť šňupání, ve své nejobecnější formě, se skládá ze zachycení snímků ze sítě a sledování jejich obsah. Schopnost to bylo rozšířeno na nějakou dobu a byl používán každý ze správců sítí (kteří byli řešení potíží) se sušenkami (kteří byli tahání hesla a soubory z drátu). Pokud budeme měřit naši časový rámec daty propuštění některých z novějších čichání nástrojů, to bylo teprve nedávno, že síť čichání byla zveřejněna, aby bylo možné v přepínané síti. Toto zpoždění v šíření informací vedl k, stále převládá, myšlenkový, že migraci prostředí přepínané síti by zabránila komukoli čichání síťový provoz (není-li, samozřejmě, mohli připojit k / uplink portu na základní desce na přepínači) , Netřeba říkat, že díky úsilí bezpečnostní komunitou (nebo anti-bezpečnostní komunity, v závislosti na úhlu pohledu), nástroje objevily které umožňují síť šňupání na přepínaných sítí. Chcete-li získat lepší pochopení toho, potřebujeme stručné vysvětlení toho, jak non-měnil sítě pracovat a jak jsou přičichl. Budu pak přejít na ukázat, jak přepínaných sítí pracovat a ukázat, jak jsou přičichl. Budu skončit s diskusí o tom, jak chránit svůj provoz v obou non-měnil nebo spínané prostředí.
Čichání Non-přepínaných sítí
V nepodnikatelské zapnutém síťovém prostředí, nosíme koncept síťovém segmentu. Segment1 je síťová architektura, který je umístěn za routerem, mostů, železničních uzlů nebo přepínači, ve kterém každý uzel je přímo adresovatelné od každého jiného uzlu. V non-měnil prostředí, rámy jsou zpracovány ve vysílání způsobem. To znamená, že když uzel vysílá rám, to je "vidět" každý uzel na segmentu. Každý uzel, podle pořadí, krátce zkouška rám aby zjistil, zda je určeno k nim. Pokud tomu tak není, je zlikvidován. Nicméně, pokud jsou zamýšleným příjemcem, že přijímají rámec pro zpracování. I přirovnat k (nyní méně časté) účastník-line telefonní hovor, kde může jeden telefonát najednou zazvoní na více telefonů. Každý, kdo odpoví a po zjištění, že výzva není pro ně zavěsí (alespoň zavěsí pokud respektují soukromí ostatních, které sdílejí strany linii). Pro účely tohoto dokumentu, bude uzel B se označují jako hostitel, které mají být použity jako činidla šňupání. Uzel A i uzel C bude zastupovat "nevinné", kteří se jen snaží komunikovat mezi sebou navzájem. To je znázorněno na obrázku 1. 
Normální tok provozu v non-přepínané síti je následující:
Pro úplnost je třeba poznamenat, že kroky 3 a 4 může být obrácen tak, aby, jak předpovědi o tom, který uzel obdrží rám První z nich je mimo rozsah tohoto dokumentu. Z praktických důvodů, lze předpokládat, že k nim dochází ve stejnou dobu.
Aby hostitele, které mají být použity jako šňupání činidla, musí být síťové rozhraní nastaven na "promiskuitní" režim. Nastavení tohoto režimu vyžaduje uživatele root nebo správce přístup. Poté, co je nastaven tento režim, síťové rozhraní již nebude klesat síťových rámců, které jsou adresovány do ostatních hostitelů. Spíše to bude předávat je do vyšších vrstev sítě s očekáváním, že nějaký software na vyšší vrstvě je bude zpracovávat. Při odkazování na obrázek 1, kroky tohoto procesu by takto:
Opět platí, že kroky 3 a 4 mohou být provedeny.
Můžete vidět, že non-měnil prostředí půjčuje sebe docela pěkně na čichání. To vyžaduje trochu více úsilí na straně šňupání činidla, protože náboj vysílá rámy na všechny aktivních portů. Existuje několik čichání pomůcky. Některé z veřejně dostupných nástrojů používaných čichat non-přepínaných sítí patří:
Vyzbrojeni těmito základními znalostmi o tom, jak non-měnil sítě pracovat a jak jsou přičichl, budu teď dělat paralelní srovnání s přepínaných sítí.
Čichání přepínaných sítí
v zapnutém síťovém prostředí, stále nesou představu o síťovém segmentu, ale segment zahrnuje pouze uzel a vypínač. Datové rámce jsou zpracovány v přímém způsobem. To znamená, že snímky z uzlu A do uzlu C jsou odesílány pouze po okruzích v přepínači, které jsou nezbytné k dokončení spojení mezi uzlu A a uzlu C. I přirovnat ke společnému volání z osoby na osobu, která žádá osobou osoba C. To je znázorněno na obrázku 2. 
Upozorňujeme, že hostitelé ještě provést vyšetření cílovou adresu, přestože spínacích "záruku", že jsou zamýšlené host. I když to může způsobit velmi malé množství zbytečných režie pro hostitele, je to nezbytný krok, protože hostitelé mohou migrovat z bodu A přešel na non-měnil prostředí (tj zvažovat případ notebooku).
Tento režim nese několik přirozených výhod:
Nicméně, tam jsou některé kompromisy:
Jak můžete vidět, spínaný síťový nehodí k čichání stejně snadno, jako non-měnil sítě dělá, protože nevysílá většinu snímků. Budete také všimnout, že v oddílu "přirozených výhod ', jsem neudal, že prostředí bylo bezpečnější. Vývoj přepínaných sítí byl řízen potřebou větší šířku pásma, nikoli pro potřebu více zabezpečených sítí. Ve skutečnosti, vyšetřování odhalí, že některé metody jsou k dispozici čichat přepínané sítě. Některé z těchto metod jsou:
Budu stručně diskutovat tyto tři možnosti. Vezměte prosím na vědomí, že existuje více způsobů, jak čichat přepínaných sítí, které jsou uvedeny v dokumentaci zmíněných nástrojů. Prostě jsem se rozhodl vyvinout tři případy jako úvod.
ARP Spoofing
Jedním ze základních operací protokolu Ethernet se točí kolem ARP (Address Resolution Protocol) žádostí a odpovědí. Obecně platí, že pokud uzel A chce komunikovat s uzlem C v síti, pošle požadavek ARP. Uzel C odešle odpověď ARP, která bude obsahovat MAC adresu. Dokonce i v komutované prostředí, tento počáteční požadavek ARP je odeslána ve vysílání způsobem. Je možné, že Node B k řemeslu a odeslat nevyžádaný, falešné ARP odpověď na uzlu A. Toto falešné ARP odpověď bude specifikovat, že Uzel B má MAC adresu uzlu C. uzlu A bude nevědomky posílat provoz na uzlu B protože se hlásí mít zamýšlený MAC adresu. Některé dostupné nástroje se specializuje na posílání falešnou ARP odpovědí na tříd strojů (tj servery NFS, HTTP servery atd.) Jedním z takových nástrojů je dsniff5 a funguje to dobře čichat pro určité druhy dopravy. Další nástroje poslouchat obecné požadavek ARP a odeslat odpověď ARP falešnou v té době. Parasite4 Program spadá do této kategorie, a to slouží dobře čichat celou síť. Pro tento typ útoku do práce, musíme schopnost vpřed na rámech, které dostáváme k určenému hostiteli. To je nejčastěji dosaženo určitého typu IP předávání, a to buď na jádra nebo aplikační úrovni.
MAC Záplavy
Vzhledem k tomu, přepínače jsou odpovědné za zřízení virtuální okruhy z jednoho uzlu do jiného, musí uchovávat převodní tabulku, která sleduje, které řeší (konkrétně, který MAC adresy) jsou na kterém fyzického portu. Velikost paměti pro tento převodní tabulky je omezená. Tato skutečnost umožňuje přepínači být využit k čichání účely. Na některých přepínačů je možné bombardují přepínač s daty falešný MAC adresou. Přepínač, neví, jak zacházet s nadbytečná data, bude 'selhání otevřený ". To znamená, že se vrátí k rozbočovači a bude vysílat všechny síťové rámečky na všech portech. V tomto bodě, jeden z více generických sítě sniffers bude fungovat.
MAC kopírovací
Není těžké si představit, že, protože všechny rámečky v síti jsou vedeny na základě jejich MAC adresy, že schopnost vydávat se za jiného hostitele bude pracovat v náš prospěch. To je právě to, co MAC kopírovací dělá. Překonfigurovat Node B mít stejnou adresu MAC jako stroj, jehož provoz se snažíte čichat. To je snadné dělat na poli Linuxu, pokud máte přístup k příkazu "ifconfig. Tím se liší od ARP spoofing, protože v ARP spoofing, my jsme "matoucí" hostitel tím, že otráví, že je to ARP mezipaměť. Při útoku MAC duplikování, jsme vlastně plést přepínač sám do myšlení dva porty mají stejnou adresu MAC. Vzhledem k tomu, že údaje budou předány oběma porty, ne forwarding IP není nutná.
Ochrana
Existuje několik metod znovu chránit tyto útoky. Některé z těchto metod jsou použitelné pro oba non-měnil a přepínaných prostředích.
Filtrování IP
Povolením filtrování IP na přepínači, přímo určit, který provoz je umožněno proudit do az každý port. To může být monumentální úsilí zavést a spravovat, zvláště pokud vaše prostředí je dynamické.
Port Security
-li rozbočovač nebo přepínač má možnost povolit bezpečnosti přístavů, to pomůže chránit vás z obou MAC Flood a MAC spoofing útoky. Ty mají účinně brání hub nebo přepínač rozpoznat více než 1 MAC adresu na fyzickém portu. To, stejně jako mnoho bezpečnostních postupů, omezuje na životní prostředí a zesiluje potřebu procesu řízení, stejně jako proces auditu.
Směrování zabezpečení
směrování by mělo být prováděno pouze určené routery. To znamená, že žádné pracoviště by mělo být umožněno spuštění směrovacího protokolu, protože mohou být ohrožena. Také je samozřejmé, že vedení některý z vašich síťové zařízení by mělo být přes zabezpečené připojení, a ne přes telnet, který prochází administrativní login / heslo do prostého textu.
Závěr
Věřím, že tato zkouška poskytuje další důvody pro "obranu do hloubky". Sítě jsou enabler infrastruktura pro nás plnit náš každodenní funkce. Obecné sítě, které používáme byli nikdy chtěl být používán jako bezpečnostní prvek; i, i nadále používat tímto způsobem. Poskytování spravované síťové infrastruktury je klíčovou součástí každého dobrého obranné pozice. I když by byla ohrožena jediného hostitele může získat přístup útočníkovi několika systémů, schopnost čichat userids a hesel pro několik strojů bude účinně rozdávat klíče ke království. Správci sítí musí být vědomi, že mají 2 realistické možnosti. Mohou buď správu sítě vhodně a být součástí týmu, se snaží chránit životní prostředí, nebo mohou konfigurovat prostředí tak, že je "hands-off" nebo "self-udržovat", který se obvykle překládá do laxní bezpečnost.
Reference
"Webopedia"http://webopedia.internet.com/TERM/s/segment.html
"AntiCode webové stránky"http://www.AntiOnline.com/cgi-bin/anticode/anticode.pl
"Nejisté webové stránky"http://www.insecure.org/
van Hauser. "Parazit 0,5"http://thc.inferno.tusculum.edu/files/thc/parasite-0.5.tar.gz
Song, Dug. "Dsniff"http://www.monkey.org/~dugsong/dsniff/
Chris Morris
03.01.2001
Vaše firma se nakonec rozhodla zavést systém detekce narušení (IDS). Jste vyslechli prodejce po prodejce popsat své zboží v detailu a vysvětlit, proč se jejich systém funguje nejlépe ve vašem prostředí. Vybrali jste si své IDS založený na ceně, podpora, snadnost použití, instalaci a nejlepší společnost t-shirt design. Jste vyzkoušeli nové IDS úspěšně a nyní nasazeno do produkčního prostředí. Otázkou je, co teď?
Doufejme, že předtím, než jste nasadili své IDS do vašeho prostředí, jste si našli čas, aby vytvořila stabilní politiku IDS sledování a řízení. Tyto dokumenty jsou psány odpovědět na tuto "Co teď" otázku. Je nutné určit, jak budete sledovat vaše systémy, který bude sledovat, co budete dělat, když se dostanete upozornění a kdo se chystá opravit chybu. Navíc je nutné určit úroveň odezvy, které umožní, jakmile byla zjištěna vniknutí do vozidla. Myšlenky uvedené v tomto dokumentu by měly být užitečné pro síť, host-based a takzvané hybridní systémy detekce vniknutí a pro rozvoj postupů odezvy.
IDS Monitoring
Cílem IDS je pozitivně identifikovat skutečné útoky, zatímco negativně identifikaci takzvané falešné poplachy (události, nesprávně označen jako IDS vniknutí do vozidla, pokud došlo none). Proto IDS bude muset být monitorován. Účinně kontrolovat IDS, budete muset vyvinout účinné plány v těchto oblastech:
Pokud je vaše společnost jako většina nebudete mít prospěch z vysoce kvalifikovaných bezpečnostních expertů monitorujících konzole 24/7. Tento úkol je pravděpodobné, že spadnou na úrovni jednoho operátora práci v síti Operations Center. Tato osoba bude obvykle nemají formální bezpečnostní školení a s největší pravděpodobností nebudou vědět, co dělat s záznamu. Proto je důležité poskytnout této osobě s dobře dokumentovaných kontrolních postupů, které podrobně akce pro zvláštní záznamy. Další taktikou pro monitorování IDS je mít stránku systému nebo e-mailové určený personálu specifické výstrahy. Ať tak či onak vedení IDS by měla vypracovat seznam hrozeb, které chcete být upozorněni na a mají operátorovi nebo analytikovi hodinky pro ně. Tyto hrozby se může pohybovat od skenování portů neautorizovaným ftp akce až po odmítnutí pokusů služeb.
Incident Handling
Proč se obtěžovat detekci útoku na prvním místě, pokud víte, že se nebude dělat nic o tom? Dobrá otázka. Budete muset vyvinout dopadající postup manipulační dobře zdokumentovaný, pokud se chystáte využít informace, které jste zachycené během monitorování. Manipulační postupy události je třeba chápat, přístupné a zkoušel. To může mít hodnotu vyvíjet nástin cílů a záměrů podobné následující v tom, jak bude vaše firma zvládnout incident:
Level 1 Jedna instance potenciálně nepřátelské činnosti (prstem, neoprávněným telnet, skenování portů, atd.).
Level 2 Jedna instance jasné snaze získat neoprávněný informace nebo přístup (stahování souborů hesla, přístupového zakázané prostory, atd) nebo druhé úrovně 1 útok.
Level 3 vážný pokus prolomit zabezpečení (multi-pronged útok, odmítnutí pokusu servis atd) nebo druhé úrovně 2 útoku.
SIRT
Samozřejmě, že všichni potenciální, podezřelé nebo známé bezpečnostní incidenty informace by měly být hlášeny společnosti Security Incident Response Team Information (SIRT) nebo určeného bezpečnostního jednotlivce (ů). Tito pracovníci budou identifikovány v rámci postupu dokumentu pro manipulaci incidentů. SIRT přiřadí pracovníky, kteří budou shromáždit všechny potřebné zdroje zvládnout incident. Koordinátor incidentu bude rozhodovat, pokud jde o výklad politiky, norem a postupů při aplikaci na incidentu.
Vymáhání práva a vyšetřovacích agentur budou oznámeny, podle potřeby a potřeby, které SIRT. V případě mimořádné události, která má právní důsledky, je důležité navázat kontakt s vyšetřovacími orgány (např FBI v USA) co nejdříve. Vymáhání Místní zákony by měly být rovněž informován podle potřeby. Právní zástupce by měl být informován o incidentu, jakmile je hlášena. Minimálně právní zástupce by měl být zapojen k ochraně právní a finanční zájmy vaší firmy.
Dokumentace
Veškeré bezpečnostní incidenty informace musí být doloženy. Tato dokumentace obsahuje odkaz, který bude použit v případě jiných podobných incidentů. Systémových a ladících síť soubory, síťové zprávy provozu, uživatelské soubory, výsledky získané na základě detekce narušení nástroje, výsledky analýzy, protokolů konzole pro správu systému a poznámkami a zálohovacích pásek, které zachycují před-vniknutí a následné narušení stavů postiženého systému musí být pečlivě shromážděny, označené katalogizovat, a bezpečně uloženy v každé fázi analýzy narušení.
Důkazy a protokoly o činnosti by měly být chráněny před, v průběhu a po incidentu. Aby bylo zajištěno, že důkaz bude přijatelné pro právníky, by mělo být shromažďování důkazů provede podle předem definovaných postupů.
Response Akce
Tento proces manipulace incident poskytnout nějaké eskalace mechanismy. Aby bylo možné definovat takový mechanismus je SIRT by měl vytvořit vnitřní klasifikační schéma pro mimořádné události. Spojená s každou úroveň incidentu budou vhodné postupy. Níže je uveden příklad množstvím incidentů s odpovídajícími definicemi:
Závěr
vniknutí Detection System je nástroj, který je součástí dobrého bezpečnostní architektury a strategie mnohovrstevný obrany. Nicméně, jakmile IDS je nasazen do sítě systém musí být sledovány a výstrahy reagoval na. Dokumentované pokyny pro monitorování a varovné kritéria musí být vyvinuty, takže můžete efektivně reagovat na mimořádné události. Akce reakce by měly být vypracovány postupy manipulace incidentu.
Reference
BACE, Rebecca. "Úvod do detekce a posuzování".
URL:http://www.secinf.net/info/ids/intrusion/
Carnegie Mellon, CERT Coordination Center ", stanoví zásady a postupy pro reagování na průniky".
URL:http://www.cert.org/security-improvement/practices/p044.html
Carnegie Mellon, CERT Coordination Center "Připravte se zřetelem k průniky".
URL:http://www.cert.org/security-improvement/practices/p045.html
Carnegie Mellon, CERT Coordination Center, "Reakce na průniky". 30.července 1999
URL:http://www.cert.org/security-improvement/modules/m06.html
Carnegie Mellon, CERT Coordination Center, "Stav praxe Intrusion Detection Technologies". 16.listopadu 2000
URL:http://www.sei.cmu.edu/publications/documents/99.reports/99tr028/99tr028chap01.html
FAQ: Systems Network Intrusion Detection. Verze 0.8.3, 21.března 2000
URL:http://www.ticm.com/kb/faq/idsfaq.html#3.6
Ranum, Marcus J. "Intrusion Detection: výzvy a mýty". 1998
URL:http://secinf.net/info/ids/ids_mythe.html
Sondra Schneider, Erik Schetina a Donald Stahl. "Život po IDS". Září 1999
URL:http://www.infosecuritymag.com/sept99/cover.htm
Matthew Richard
05.04.2001
Úvod
Mnoho podnikových sítí a firemní bezpečnostní spoléhají na detekci narušení upozornit administrátory vniknutí. Se všemi rysy moderních systémů detekce narušení bezpečnosti existují některé tragické chyby tkvící v jejich designu. Tyto nedostatky se vztahují na Snort a všechny ostatní motory detekce narušení podpis založen. Snort je vybrán v tomto dokumentu kvůli jeho popularitě a její známosti mezi komunitou SANS.
Co je Snort
Snort je Intrusion Detection System napsal Martin Roesch. Snort je byl napsán jako open source projekt a je k dispozici zdarma pod GNU veřejnou licencí. Tento software je založen na porovnání podpis optimalizovaný pro rychlost. Snort nabízí mnoho funkcí, které z něj činí ideální volbu v boji proti internetovým útočníkům dělají. Zde je popis Snort z internetových stránek Snortu:
Snort je lehký systém detekce Network Intrusion, schopné provádět analýzu provozu v reálném čase a protokolování paketů na IP sítích. Je možné provádět analýzu protokolu, obsah vyhledávací / párování a mohou být použity k detekci různých útoků a sond, jako je přetečení zásobníku, tajnosti skenování portů, CGI útoky, SMB sondami, pokusy o OS snímání otisků prstů, a mnohem více. Snort využívá flexibilní pravidla jazykem popsat provoz, který by měl shromažďovat nebo projít, stejně jako detekční engine, který využívá modulární modulární architekturou.
Síla Snortu
Snort byl napsán využít vysoce modulární konstrukci. Aplikace mohou využít několika různých pre-procesorů normalizovat, filtrovat a třídit data. Snort má rovněž velmi silné post-procesorů, nebo výstup plug-inů, které mohou být použity k přihlášení údaje získané Snort v několika různými způsoby. Vzhledem k tomu, Snort je open source projekt a že má mnoho uživatelů jeho podpis databáze je aktualizována často a jsou jednoduché aktualizovat.
Jak Podpisy práce
Pochopení toho, jak je nezbytné pro pochopení toho, jak je porazit podpisy práce. Je-li Snort dána příchozí paket z ovladače pro zachycování paketů se srovnává tento paket do své databáze známých podpisů. Podpis má nějaký klíčový aspekt paketu, že se porovná se podívat na zápas. Dojde-li ke shodě, než Snort odešle výstup na standardní výstup mechanismu nebo k jednomu z nakonfigurovaných post-procesorových výstupních plug-inů. Například je-li Snort obdržel následující paket, pak by to porovnat ji proti své databáze:
03 / 21-13: 02: 34,978853 10.1.114.88:1272 -> 10.1.114.220:54320
TCP TTL: 128 TOS: 0x0 ID: 48408 IpLen: 20 DgmLen: 44 DF
****** S * Seq: 0x2BC3D9 Ack : 0x0 Win: 0x2000 TcpLen: 24
Možnosti TCP (1) => MSS: 1460
a porovnejte ji k pravidlu:
alert tcp $ EXTERNAL_NET jakýkoliv -> $ HOME_NET 54320 (msg: "Backdoor SIG - BO2K";)
Tato událost by vyvolat varovnou zprávu. Většina podpisy nejsou jen podívat na to, co portu paket je do nebo z, ale také zkoumá část užitečného zatížení. Jak se nacházejí nové bezpečnostní díry a využije nové podpisy jsou zapsány neutralizovat nebezpečí.
Problém s podpisy
Co Snort a dalších systémů detekce narušení podpisem založeným počítají, že škodlivý provoz bude mít jedinečné vzory na to, aby může být uzavřeno v rozporu s pravidly v databázi. Například Snort používá následující pravidlo hledat SubSeven Trojan:
alert tcp $ EXTERNAL_NET jakýkoliv -> $ HOME_NET 27374 (msg: "Backdoor SIG - SubSseven 22"; flags: A +, obsah: "| 0d0a5b52504c5d3030320d0a |"; referenční: pavouků, 485;)
ve střehu
Důležitou součástí tohoto pravidla je třeba uvést, že Snort hledá podpis hex "0D 0A 5b 52 50 4c 5d 30 30 32 0d 0A", která je umístěna kdekoliv v datové části paketu.
To pak zřejmé, že existuje mnoho způsobů, jak obejít tento podpis. První věc, kterou bychom mohli udělat, je měnit cílový port. To je obvykle nežádoucí, i když, protože infikovaný počítač pravděpodobně používá výchozí port pro SubSeven, aby bylo snazší vyhledávat. V případě, že útočník ví, co portu SubSeven by měl být spuštěn pak mohli rychle a snadno skenovat velké bloky adres pro stroje naslouchání na tomto portu. Dalším úniky techniku, která by útočník mohl použít by byla změna nebo šplhat na obsah, který je senzor hledá. To by mohlo být dosaženo použitím některé velmi jednoduchou formu šifrování. Zde je, jak jednoduchý šifrování paketů může fungovat:
první byte užitečného obsahu paketu je hodnota, která bude přidána ke každému následnému byte. Pokud budeme používat 3 pak náš užitečné zatížení "0d 0a 5b 52 50 4c 5d 30 30 32 0d 0a" se stává "31 3d 8e 85 83 7F 81 63 63 65 31 3e", která nemá Mach některý ze známých signatur. Útočník se nyní vyhnul náš systém detekce narušení. Další kroucení této techniky by mohly zahrnovat veřejný klíč / soukromý klíč šifrování. Soukromý klíč pro server a veřejného klíče pro klienta by mohlo být odeslán, nebo svázaný s původní instalace. To by způsobilo veškerou komunikaci mezi 2 hostiteli nesrozumitelný a nezjistitelná systémů detekce narušení bezpečnosti.
Jak to jít znovu?
Nové techniky jsou rovněž vyvíjeny změnit způsob, jakým spustitelný kód, který běží trojské koně a další aplikace vypadá. Jak bylo uvedeno v nedávném článku ZDNet:
Během semináře minulý týden na konferenci CanSecWest ve Vancouveru, British Columbia, hacker s názvem "K2" prozradil program, který vytvořil, které mohou maskovat malé programy, které hackeři zpravidla používají k praskání přes zabezpečení systému.
Podle K2 sám, "Toto je způsob, jak udržet využije zbrusu nový, po celou dobu." To zvyšuje možnost, že není dostatek času aktualizovat signatury pro IDS jako změna rozpoznatelnosti. Již volně k dispozici pro hackery jsou nástroje na "přebalit" spustitelné soubory, které používají. Tento přebalování změní spustitelný, takže již není rozpoznatelný pro anti-virus a vniknutí motorů detekce.
Útoky na službách
Snort a dalších systémů pro detekci narušení se vynikají při odhalování útoků na služby, které vyžadují exploit, který nemůže být šifrována. Útoky, jako je tato by měla zahrnovat přetečení zásobníku, adresář Traversal a pokusí skenování. Tyto typy útoků spoléhat na stávající nedostatky v rámci počítač oběti. Tyto chyby mohou být obvykle využívány pouze použití určitého útok mechanismus, který bude mít určitý podpis. V těchto zjištění vychází narušení případy podpisu dělá velmi dobře při odhalování tyto vzory a upozorňování nebo jejich zastavení.
Problém s detekcí narušení, neboť se vztahuje k útokům na služby je, že to může trvat nějakou dobu pro nové využití, aby se stal známý. Po exploit je znám pak nový podpis může být psán pro něj a distribuovány. To ponechává mnoho systémů náchylné k napadení nevědomého po určitou dobu. Je možné, že dobře provedený útok zanechá žádné stopy vniknutí proto skýtat veškeré úsilí umístěny do detekce narušení zbytečný. IDS jsou také zraněn nedostatkem podpůrné údaje pro útoky, které nebyly okamžitě poznal. Autorem Stick, Cortez Giovanni říká:
Také většina IDS nezačnou záznam útok, dokud se spustí alarm. To znamená, že nebude zaznamenán původní chyba, která umožnila přístup. Některé IDS vyrovnávací paměti, že data, tak, že IDS budou mít poslední X počet bajtů, než poplachu vidět, co došlo před ním. Bez ohledu na to, IDS obvykle nezachycují paket velmi podrobně vzhledem k požadavkům na nahrávání na IO a vzdálenou správu.
Denial of Service
Ačkoliv popření servisních útoků jsou obvykle spojeny s jednotlivými stroji či sítí, je také možné uplatnit popření servisních technik proti systémech detekce narušení podpis založen. Jerry Marsh uvádí jednu takovou možnou techniku v článku napsal:
mnoho systémů Nids pracují tím, že upozorní někoho, u nichž existuje podezření činy se dějí. Jak bylo prokázáno v Monterey SANS konferenci v říjnu 2000, toto může být zmařen zahlcení informacemi. V tomto příkladu je útočník vytvořil tolik "šum" útok pokusy, které lidé dívají na útoky byly přetížené. Skutečný útok byl injikován ve středu hluku a dokončena před tím, než by mohlo být stanoveno, co je skutečný cíl byl.
To je jen jeden způsob provádění odmítnutí služby útoku na detekce narušení systému.
Další možný způsob, kterým se provádí odmítnutí služby proti IDS by vyčerpat prostředky tohoto IDS. Toto odmítnutí služby zaplaví IDS s provoz, který bude generovat upozornění, dokud IDS dojdou zdroje. To by způsobilo IDS mají neúplný záznam událostí, které se odehrály. Zde je příspěvek autora, který tvrdí, že napsal nástroj pro automatické přemoci IDS systémy.
Tento nástroj používá pravidlo Snort nastavit a vytváří program v jazyce C přes Lex, že při kompilaci bude vyrábět IP paket schopen spustit toto pravidlo z falešnou IP rozsahu (nebo všech možných adres IP) do cílového rozsahu IP adres. Funkce se vyrábí pro každé pravidlo a smyčka pak provede tato pravidla v náhodném pořadí. Nástroj se v současné době vyrábí tyto na asi 250 alarmů za sekundu. Linux snort založená zasáhne 100% CPU a začít svržení pakety. Důraz na nahrávání a disku IO je další problém. ISS RealSecure umírá dvě sekundy po začátku útoku. Tento test byl proveden několikrát. Ostatní IDS a dokonce štěnicemi (zejména s vyhledávání DNS) měl problémy s jejich vlastní.
Závěr
Přestože podpis založený IDS poskytují užitečnou službu, aby správce ví, že on / ona byla nebo je napaden neměly by se na ně spoléhat. Je to příliš snadné oklamat nebo vypnout libovolný stroj IDS dolů, aby mohly být využity jako primární linii obrany proti narušiteli. Některá doporučení, které byly dány Lawrence R. Halme a R. Kenneth Bauer ve svém článku "Aint nechová: taxonomie Anti-Intrusion technikami" použít následující postupy v souvislosti s detekce narušení:
Detekce narušení bezpečnosti by měly být součástí obrany v hloubce strategii a žádný jednotlivý nástroj nebo technologie by měla být spoléhat výhradně.
Odkazy
[1] Srisuresh, P. a M. Holdrege. "IP Network Address Translator (NAT) Terminologie a úvahy." RFC 2663. 08. 1999.http://www.geektools.com/rfc/rfc2663.txt (20.března 2001)
[2] "Co je Snort."http://www.snort.org/what_is_snort.htm (2 Apr. 2001)
[3] Lemos, Robert. "Nová pláštích kódu hrozbu pro bezpečnost." 2.4.2001.http://www.zdnet.com/zdnn/stories/news/0,4586,5080532,00.html (3 Apr. 2001)
[4] Marsh, Jerry. "Mýty manažeři věří o bezpečnosti." 25.ledna 2001.http://www.sans.org/infosecFAQ/start/myths.htm (02.04.2001)
[5] Giovanni, Cortez. "Zábava s pakety: Navržení Stick".http://www.eurocompton.net/stick/ (2 Apr. 2001)
[6] Halme, Lawrence R. a Bauer, R. Kenneth. "Aint nechová: taxonomie Anti-Intrusion techniky."http://www.sans.org/resources/idfaq/aint.php (02.04.2001)
[7] Vysílání na uživatelích, kteří Snort e-mailové konference o Cortez Giovanni.
Falešně pozitivních musí být zmírněna co nejvíce, zatímco ještě ne vytvářet nové falešně negativní.
Pár kroků, které budou výrazně snížit počet falešných poplachů jsou následující:
1. Zakázat pravidla, která nejsou ve vztahu k danému prostředí. Například, pokud nechcete spustit serveru Apache není důvod dávat pozor na útoky proti Apache.
2. Při použití detekce anomálií IDS být jisti, rekvalifikaci pro nové aplikace podle potřeby.
3. Tam, kde je to možné, upravovat pravidla, která jsou příliš široká.
4. Když pravidla nelze upravovat, vytvářet těsné obcházet pravidla, která umožňují legitimní provoz projít bez vyvolání upozornění.
5. U pravidel, která jsou situační, být jisti, že jsou povoleny pouze tehdy, pokud jsou relevantní. Například NBT provoz v prostředí Windows LAN je normální přesto, stejný příchozí provoz z internetu nemusí být normální.
Intrusion Detection System se pak pokouší odhalit neoprávněné a neobvyklou aktivitu sledováním paketů pojezdová dané síti. systém prevence průniku do toho se schopností blokovat nebo odmítnout pakety, které odpovídají konkrétní podpis nebo chování. Aby to bylo efektivní, systém prevence průniku sedět in-line namísto použití síťového kohout nebo portu rozpětí. V minulosti to byl důvod k obavám z důvodu možného zúžení in-line IPS by mohly způsobit vyplývající z vysokého zatížení nebo selhání hardware / software. V poslední době nárůst propustnosti mnoha IPS zařízení, implementace s vysokou dostupností a bypass zařízení snížilo toto riziko.
Hostitelský Intrusion Detection systémy se snaží odhalit neoprávněné a neobvyklou aktivitu v daném systému. Prevence narušení dává HIDS Agent schopnost blokovat nebo odmítnout konkrétní aplikace, chování a změny v konfiguraci lokálního systému.
Hostit detekce narušení založené (HIDS) se týká detekce narušení, která se koná na jednom hostitelském systému. V současné době HIDS zahrnuje instalaci agenta na lokálním počítači, který monitoruje a zprávy o konfiguraci systému a činnosti aplikace. Některé běžné schopnosti HIDS systémů zahrnují analýzu protokolu, korelace události, kontrolu integrity dat, vynucování zásad, detekce rootkitů, a varování 1 . Často mají také schopnost se do původního stavu hostitelského systému pro detekci změny v konfiguraci systému. Ve specifických implementací prodejců tyto HIDS činidla také umožňuje připojení k jiným bezpečnostním systémům. Například Cisco CSA má schopnost posílat data z počítače proti proudu do sítě Cisco IPS zařízení 2 , Checkpoint Integrity lze integrovat s Checkpoint Secure Client (klient VPN) 3 , a IBM Proventia Desktop je Cisco NAC certifikován. 4
Většina HIDS balíčky mají nyní možnost aktivně zabránit škodlivým nebo anomální činnost v hostitelském systému. Vzhledem k potenciální dopad to může mít na koncového uživatele, HIDS je často nasazena v "sledovat jen" režim zpočátku. To umožňuje správci vytvořit základní linii konfigurace a činnosti systému. Aktivní blokování aplikací, systémových změn a síťové aktivitě je omezen pouze nejzávažnějších činností. Administrátoři mohou pak naladit politika systém založený na tom, co je považováno za "normální činnost".
Jim McMillan
11. 2009
Jsme všichni trochu obeznámeni s systémů prevence narušení (IPS). Ale co je to za řeči o firewallů pro webové aplikace (WAFS)? Co je to Web Application Firewall a jak se liší od IPS? Za prvé, pojďme se rychle podívat na Intrusion Prevention, jeho výhodách a část krátkodobých příchody. Pak budeme diskutovat o WAFS a jak se liší od a rozšířit IPS.
IPS obecně sedí v řadě a sleduje síťový provoz, protože pakety protékat. Působí podobně jako Intrusion Detection System (IDS), kterou se snaží, aby odpovídaly dat v paketech proti databázi signatur nebo detekci anomálií proti tomu, co je předem definován jako "normální" provoz. Navíc k jeho funkčnosti IDS, IPS umí víc než log a výstrahy. To může být naprogramován tak, aby reagovat na to, co se detekuje. Schopnost reagovat na odhalení je to, co dělá IPS více žádoucí než IDS.
Existují ještě nějaké nevýhody IPS. IPS jsou navrženy tak, aby blokovat určité typy provozu, aby mohl identifikovat jako potencionálně špatnou provoz. IPS nemají schopnost porozumět webový aplikační protokol logiku. Z tohoto důvodu, IPS nemůže plně rozlišit, zda žádost je normální, nebo chybně v aplikační vrstvě (OSI vrstvy 7). Tento krátký příchod by mohl povolit útoky přes bez detekce a prevence, zejména novější útoky bez podpisů.
Být tam je velké množství webových aplikací v existenci, a to jak komerční a domácí pěstují, bude mají tendenci být mnoho různých typů zranitelností k dispozici pro útočníkům zneužít. IPS nemůže účinně pokrýt všechny potenciální slabiny a ve skutečnosti může skončit produkovat víc falešných poplachů. Falešně pozitivních jsou velmi špatné, protože oni dělají již obsazeno bezpečnostní analytici dokonce rušnější. Přetížení falešně pozitivních výsledků může zpozdit reakci na skutečné útoky nebo způsobit útoky, aby se přijal jako normální, protože analytik snaží snížit hluk.
Hostitelské IPSS (HIPS) jsou trochu podrobnější než síťové IPS (NIP). HIPS může sledovat aplikační vrstvy (OSI Vrstva 7), o něco blíže k logice dodané do webové aplikace. Ale HIPS stále postrádá určité pochopení webových aplikačních jazyků a logiku. V reakci na tyto nedostatky jsme představili Web Application Firewall.
WAFS jsou určeny k ochraně webových aplikací / serverů před webovými útoky, které IPS nemůže zabránit. Ve stejných považuje za IPS, WAFS může být síť nebo hostitel bázi. Oni sedí v řadě a monitorování dopravy do az webových aplikací / serverů. Zjednodušeně řečeno, rozdíl je v úrovni schopnost analyzovat logiku webové aplikace vrstvy 7.
V případě IPS vyslýchat provoz proti podpisů a anomálií, WAFS vyslýchat chování a logiku toho, co je požadováno a vrátil se. WAFS ochranu proti webové aplikace hrozbám, jako je SQL injection, cross-site scripting, neoprávněným přístupem, parametr nebo URL manipulace a přetečení bufferu. Dělají to stejným způsobem IPS dělá, tím, že analyzuje obsah každého příchozího a odchozího paketu.
WAFS jsou typicky rozmístěny v nějakém proxy módy těsně před webovými aplikacemi, takže nejsou vidět všechny provoz na našich sítích. Na základě sledování provozu dříve, než se dostane do webové aplikace, WAFS lze analyzovat požadavky, než je předají dál. To je to, co jim dává takovou výhodu nad IPS. Vzhledem k tomu, IPS jsou navrženy tak, aby vyslýchat veškerý síťový provoz, nemohou analyzovat aplikační vrstvy důkladně.
WAFS nejen detekovat útoky, které se mohou vyskytnout v aplikačním prostředím internetových, ale také odhalit (a může zabránit) nové neznámé druhy útoků. Tím, že sleduje neobvyklých nebo neočekávaných vzorů v provozu mohou upozornit a / nebo bránit proti neznámými útoky. Pro Příklad-jestliže WAF zjistí, že aplikace se vrací mnohem více dat, než se očekává, může WAF ji zablokovat a upozornit někoho jiného.
Webové aplikace Firewally jsou zvláštní druh výrobku používá k detekci útoků na webové aplikace do větší hloubky než jako Prevention System narušení. WAFS lze využít v našich podmínkách poskytnout zvýšenou ochranu webových aplikací / serverů. Použití WAF je dobrý způsob, jak rozšířit naši IPS a poskytují další vrstvu ochrany pro naše obrana do hloubky architektury.
AppliCure Technologies (ND). Role jednotlivých technologií v bezpečnostním prostředí. Citováno zhttp://www.applicure.com/answers/Web_Application_Security/Avoiding-web-attackshttp://whitepapers.techrepublic.com.com/abstract.aspx?docid=295292
Jahchan, GJ. (Nd). Úvod do webových aplikací firewallů. Citováno zhttp://www.infosectoday.com/Articles/Web_Application_Firewalls/Web_Application_Firewalls.htm
Beechey, J. (2009, březen). Webové aplikační firewally: obrana do hloubky pro vaše webové infrastruktury. Citováno zhttp://www.sans.edu/resources/student_projects/200904_01.doc
SecureWorks,. (2009, 20 dubna). SecureWorks, inc. spouští se podařilo webové služby aplikační firewall. Citováno zhttp://www.secureworks.com/media/press_releases/20090420-waf
Jim McMillan
11. 2009
Databáze hrají klíčovou roli v mnoha dnešních korporací. Oni si myslí, důležité informace, že mnoho našich obchodních jednotek spoléhat na provádět spolehlivě a efektivně. Ve věku informací, přežití mnoha korporací závisí na integritu, dostupnost a důvěrnost informací uložených v těchto databázích.
Informace uložené v databázích to vyžadují bezpečnostní opatření nejen být na místě, aby uspokojil interní potřeby, existuje také mnoho regulační požadavky, které musí uspokojující. HIPAA, SOX, PCI, GLBA a další regulační požadavky vyžadují mnoho korporace aplikovat bezpečnostní opatření na ochranu citlivých dat. Navzdory tomu, databáze je stále oblastí, kde chybí ochranná opatření.
V našich celkových bezpečnostních architekturách zařazujeme mnoho opatření na ochranu našich firemních aktiv. Dokonce i se všemi těmito opatřeními na místě jsme ještě ke ztrátě dat. Útočníci mají tendenci k útoku slabých míst v našich architekturách. Databáze jsou jedním z těchto slabších míst. To může být způsobeno tím, že audit a monitoring na databázové servery obvykle vyvolávají velký výkon hit. V mnoha společnostech jsou audit databáze a sledování opatření nebyla realizována z důvodu snížení výkonu.
Korporace spoléhají na dalších bezpečnostních opatření, která zavedly k ochraně svých databází. Intrusion Prevention Systems (IPS) jsou často nasazeny, aby se zabránilo útokům našich aktiv, včetně databázových serverů. IPS to tím, že monitorování síťového provozu pro podpisy nebo anomálie a působí na ty věci, které detekují. Tak proč to není dost dobré? Proč potřebujeme další produkt, Database Activity Monitor, s cílem lépe chránit naše databáze? Co mohou stanovit, že IPS nemůže?
Za prvé, co je databáze Activity Monitor? Přehrady jsou technologie, které byly vytvořeny na pomoc rozšířit naše stávající bezpečnostní architektury tím, že poskytuje pokrytí mezery na našich databází. Přicházejí buď v samostatné hardwarové zařízení nebo softwarový agent, který je naložen na stejném serveru jako databáze. V jakékoli formě, zachycují, log, analyzovat a záznam o porušení zásad, které se vyskytují u Structured Query Language (SQL) v reálném čase. Kromě těchto funkcí, některé implementace mohou mít také preventivní politiky, které zastaví útoky.
Přehrady na bázi sítě jsou podobné IPS v cestě. Oni sedí venku na síti a sledovat síťový provoz, protože je směrován od zdroje k cíli. Ale místo sledování pro jednotlivé podpisy nebo anomálií jako IPS dělá, DAM hledá balíčky obsahující příkazy SQL. Když ji najde, analyzuje logiku SQL, aby se ujistil, že je platný.
Existují dvě hlavní výhody pro síť založenou DAM. Jednou výhodou je, že produkuje žádnou režii na databází nebo databázové servery. Dalším je jeho schopnost být databáze a nezávislé na platformě, je možné sledovat mnoho různých typů databází běžících na různých operačních systémech.
Monitory aktivity databáze se vyznačují oproti ostatním produktů databázového monitoru následujícími rysy:
Tím, že mají schopnost sledovat a porozumět SQL, přehrad mají výhodu oproti IPS. Vzhledem k tomuto zvýšenému SQL znalost přehrady jsou schopny detekovat specifické útoky databáze lépe a přesněji než IPS. Přehrady mohou rozumět komunikaci databáze v obou směrech, což znamená, že může sledovat a filtrovat příchozí dotazy a vyhodnotit odpovědi na tyto dotazy. To jim v podstatě dává dvě šance detekovat nekalými úmysly.
Ve strategii ochrany do hloubky, IPS hrají důležitou roli v naší vrstvené bezpečnostní architektury. Ale pokud jde o ochranu databáze IPS není odpovídajícím způsobem sledovat a poskytují kompletní ochranu požadovanou. S různými formami SQL Injection, nulové den, a důvěryhodnými přístup k útokům, potřebujeme něco rozšířit naši IPS. Monitory aktivity databáze jsou jen technologie, jak to udělat.
Přehrady sítě na bázi liší od IPS, protože mají schopnost porozumět SQL logiku žádostí a odpovědí. Přehrady poskytují tuto přidanou technologie k překlenutí mezery, kde IPS nedosahují. A činí tak bez ovlivnění funkce pro naše databází a databázových serverů.
AppliCure Technologies,. (Nd). Role jednotlivých technologií v bezpečnostním prostředí. Citováno zhttp://www.applicure.com/answers/Web_Application_Security/Avoiding-web-attacks.html
Citrix (2007). Zabezpečení aplikací: Proč nejsou dostatečně síťové firewally a systémy prevence narušení. Citováno z
Mikko, C. (2009, 15. květen). V další vrstvu zabezpečení stolních systémů prevence narušení založených na hostiteli. Citováno zhttp://www.productivecorp.com/p-guide/-next-layer-desktop-security-host-based-intrustion-prevention-systems
Sentrigo,. (2007, květen). Need for real-time monitoring databáze, audit a prevenci narušení. Citováno zhttp://www.rad-direct.com/datasheet/whitepaper_database_security.pdf
NitroSecurity (2008). monitorovací činnost databáze. Citováno zhttp://nitrosecurity.com/regulatory-compliance/database-monitoring/
Jim McMillan
11. 2009
Naše systémy spustit mnoho procesů (služby a aplikace) na denní bázi. Často tyto procesy jsou určeny pro komunikaci se vzdálenými systémy a spustit jako služby, kteří poslouchají na zadaných portech. V dnešním prostředí počítačů jsou často ponechány zapnuté a připojené k síti po celou dobu.
To vždycky-on mentalita poskytuje nekonečné okno příležitosti k útočníkům využít zranitelnosti v těchto běžících procesů. Proto je pro nás důležité, aby nejen naše systémy oprava, je také důležité, aby se minimalizovalo procesy naslouchající našich systémů. Měli bychom spustit pouze procesy, které jsou nezbytné pro systémy, které fungují jako žádoucí, a zakázat a odinstalovat jiné procesy. Ale jak můžeme říci, jaké procesy jsou porty otevřené a naslouchají na našich systémech?
V systémech, které mají nainstalován protokol TCP / IP (což zahrnuje téměř všechny systémy), je příkaz s názvem Netstat. Netstat je řada spustitelný příkaz, který může být použit k zobrazení různé typy informací o vyšel síťové připojení. Pokud spustit netstat s možností příkazového řádku o "-?" uvidíte, že existují různé argumenty příkazového řádku, které můžete použít ke shromažďování různých informací. Můžeme použít netstat zobrazit seznam aktivních připojení pro našeho systému.
Budeme-li spustit příkaz Netstat z příkazového řádku v systému Windows, dostaneme výsledky podobné následující (výsledky ze systému Windows 7):
C: \> Netstat.exe -aon
Aktivní zapojení
Proto | místní adresa | cizí adresa | Stát | PID |
TCP | 0.0.0.0:135 | 0.0.0.0:0 | NASLOUCHÁNÍ | 668 |
TCP | 0.0.0.0:445 | 0.0.0.0:0 | NASLOUCHÁNÍ | 4 |
TCP | 0.0.0.0:5357 | 0.0.0.0:0 | NASLOUCHÁNÍ | 4 |
TCP | 0.0.0.0:49152 | 0.0.0.0:0 | NASLOUCHÁNÍ | 392 |
TCP | 0.0.0.0:49153 | 0.0.0.0:0 | NASLOUCHÁNÍ | 716 |
TCP | 0.0.0.0:49154 | 0.0.0.0:0 | NASLOUCHÁNÍ | 884 |
TCP | 0.0.0.0:49155 | 0.0.0.0:0 | NASLOUCHÁNÍ | 468 |
TCP | 0.0.0.0:49156 | 0.0.0.0:0 | NASLOUCHÁNÍ | 476 |
TCP | 192.168.56.129:139 | 0.0.0.0:0 | ISTENING | 4 |
TCP | 192.168.56.129:49158 | 65.55.17.26:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49160 | 204.246.230.80:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49161 | 65.55.15.242:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49162 | 65.55.149.121:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49163 | 65.55.15.242:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49164 | 65.55.15.242:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49167 | 65.55.15.242:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49168 | 65.55.15.242:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49169 | 65.55.15.242:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49172 | 74.125.95.149:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49174 | 204.246.230.113:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49175 | 65.55.149.119:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49177 | 66.35.45.201:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49178 | 66.35.45.201:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49179 | 66.35.45.201:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49180 | 66.35.45.201:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49181 | 66.35.45.201:80 | ESTABLISHED | 2988 |
TCP | 192.168.56.129:49182 | 66.35.45.201:80 | ESTABLISHED | 2988 |
TCP | [::]: 135 | [::]: 0 | NASLOUCHÁNÍ | 668 |
TCP | [::]: 445 | [::]: 0 | NASLOUCHÁNÍ | 4 |
TCP | [::]: 5357 | [::]: 0 | NASLOUCHÁNÍ | 4 |
TCP | [::]: 49.152 | [::]: 0 | NASLOUCHÁNÍ | 392 |
TCP | [::]: 49.153 | [::]: 0 | NASLOUCHÁNÍ | 716 |
TCP | [::]: 49.154 | [::]: 0 | NASLOUCHÁNÍ | 884 |
TCP | [::]: 49.155 | [::]: 0 | NASLOUCHÁNÍ | 468 |
TCP | [::]: 49.156 | [::]: 0 | NASLOUCHÁNÍ | 476 |
UDP | 0.0.0.0:3702 | *: * | 1412 | |
UDP | 0.0.0.0:3702 | *: * | 1412 | |
UDP | 0.0.0.0:5355 | *: * | 1164 | |
UDP | 0.0.0.0:64181 | *: * | 1412 | |
UDP | 127.0.0.1:1900 | *: * | 1412 | |
UDP | 127.0.0.1:61166 | *: * | 1412 | |
UDP | 127.0.0.1:62646 | *: * | 2988 | |
UDP | 192.168.56.129:137 | *: * | 4 | |
UDP | 192.168.56.129:138 | *: * | 4 | |
UDP | 192.168.56.129:1900 | *: * | 1412 | |
UDP | 192.168.56.129:61165 | *: * | 1412 | |
UDP | [::]: 3702 | *: * | 1412 | |
UDP | [::]: 3702 | *: * | 1412 | |
UDP | [::]: 5355 | *: * | 1164 | |
UDP | [::]: 64.182 | *: * | 1412 | |
UDP | [:: 1]: 1900 | *: * | 1412 | |
UDP | [:: 1]: 61164 | *: * | 1412 | |
UDP | [Fe80 :: a49d: 22fc: 6a6: 4daf% 11]: 546 | *: * | 716 | |
UDP | [Fe80 :: a49d: 22fc: 6a6: 4daf% 11]: 1900 | *: * | 1412 | |
UDP | [Fe80 :: a49d: 22fc: 6a6: 4daf% 11]: 61.163 | *: * | 1412 | |
Jak můžete vidět, existuje mnoho procesů naslouchají na tomto operačním systému Windows 7. Spuštěním příkazu netstat s "a" volby, jsme vyjmenovat všechny aktivní připojení TCP na TCP a UDP portech. Volba "o" nám dává identifikátor procesu, nebo PID procesu je přiřazen port. A možnost "n" říká netstat nedělat překlad názvů na IP adres nebo portů.
Tato netstat výstup nám dává pět sloupců informací o aktivních připojení:
Sloupec | informace Popis |
Proto | Typ protokolu se používá protokol TCP nebo UDP. |
místní adresa | IP adresa lokálního systému a lokální port používán. |
cizí adresa | IP adresa vzdáleného systému a vzdálený port používán. |
Stát | Stav TCP spojení. |
PID | Způsob identifikátor zpracování pomocí místní port. |
Podíváme-li se na 22. vstupu naší produkce, vidíme následující položky:
TCP 192.168.56.129:49177 66.35.45.201:80 ESTABLISHED 2988
Tento údaj nám říká, máme aktivní TCP spojení z našeho lokálního systému na portu 49177 ke vzdálenému systému s IP adresou 66.35.45.201 na portu 80. Navíc, toto spojení je v současné době stanovena a místní proces s PID 2988 používá spojení.
I když víme PID procesu pomocí tohoto spojení, není nám říci mnohem víc, než je proces, který má aktivní připojení na našem systému. Jak můžeme použít tyto informace k určení více o PID 2988?
Nyní, když máme řadu PID, můžeme nahlédnout do procesu, který je spojen s PID. K tomu lze využít vestavěný Správce úloh. Avšak tím, že ve výchozím nastavení Správce úloh nezobrazuje PID. Můžeme stanovit, že s rychlou změnu nastavení.
Otevřete Správce úloh a vyberte záložku "Procesy". Poté klikněte na tlačítko "Zobrazit procesy všech uživatelů" se zobrazí všechny běžící procesy v okně Správce úloh. Budeme muset přidat sloupec "PID (Identifikátor procesu)" k názoru, jak ukazuje níže.
Chcete-li to provést, vyberte "Zobrazit" z nabídky a poté klepněte na tlačítko "Vybrat sloupce". Na "Vybrat produkčních kolon stránka" zkontrolujte, zda je zaškrtnuté "PID (Identifikátor procesu)" pole výběru a potom klepněte na tlačítko OK.
Nyní uvidíte okno podobné následujícímu.
Podíváme-li se ve sloupci "PID", budeme vidět naše PID 2988. Poté se podíváme na "Jméno obrázku" a "Popis" sloupců, můžeme vidět, že se aktivní připojení k síti Internet Explorer.
Nyní, když jsme se podíval na tvrdší cestou kříže odkazování aktivní porty na svých procesů, pojďme se podívat na nástroj, který může pomoci to vše v jednom kroku.
Systém Windows Sysinternals "guru Mark Russinovich vytvořil velmi užitečný nástroj, mezi mnoha dalšími, které učiní naše práce jednodušší. Nástroj TCPView je GUI program, který poskytuje podobné, ale lepší, informace k tomu Netstat. To bude nejen vám číslo PID procesu vázána na aktivní portu, bude také poskytovat ty "Název obrazu", které najdete ve Správci úloh.
TCPView také zahrnuje řádky programu příkaz, který může výpisu stejné informace jako program grafického uživatelského rozhraní. To je velmi užitečná při provádění Incident Response nebo chcete-li automatizovat audit několika systémů. Příkazový řádek program se nazývá Tcpvcon a má několik argumenty příkazového řádku. Můžete spustit "tcpvcon.exe /?" Z příkazového řádku k zobrazení těchto voleb.
Na našem stejném systému Windows 7 jsme se spustit program Tcpvcon na příkazovém řádku, zatímco zadáním "A", "C" a "n" možnosti. Příkaz nám dává následující výsledky (které může být také propojen do souboru na akcii vzdálené sítě):
C: \> Tcpvcon.exe -ACN
TCPView v2.54 - TCP / UDP divák endpoint
Copyright (C) 1998-2009 Mark Russinovich
Sysinternals - www.sysinternals.com
TCP svchost.exe, 668, poslechu, 0.0.0.0: 135,0.0.0.0: 0
TCP, System, 4, poslechu, 192.168.56.129: 139,0.0.0.0: 0
TCP, wininit.exe, 392, poslechu, 0.0.0.0:49152,0.0.0.0:0
TCP svchost.exe, 716, poslechu, 0.0.0.0: 49153,0.0.0.0: 0
TCP svchost.exe, 884, poslechu, 0.0.0.0: 49154,0.0. 0,0: 0
TCP, services.exe, 468, poslechu, 0.0.0.0: 49155,0.0.0.0: 0
TCP, lsass.exe, 476, poslechu, 0.0.0.0: 49156,0.0.0.0: 0
TCP, iexplore.exe , 2988, založená, 192.168.56.129: 49158,65.55.17.26: 80
TCP, iexplore.exe, 2988, ustavený, 192.168.56.129: 49160,204.246.230.80: 80
TCP, iexplore.exe, 2988, ustavený, 192.168.56.129: 49161,65.55.15.242: 80
TCP, iexplore.exe, 2988, prokázána, 192.168.56.129: 49162,65.55.149.121: 80
TCP, iexplore.exe, 2988, ustavený, 192.168.56.129: 49163,65.55.15.242: 80
TCP, iexplore.exe, 2988, ustavený, 192.168.56.129: 49164, 65.55.15.242:80
TCP, iexplore.exe, 2988, ustavený, 192.168.56.129: 49167,65.55.15.242: 80
TCP, iexplore.exe, 2988, ustavený, 192.168.56.129: 49168,65.55.15.242: 80
TCP, iexplore exe, 2988, ustavený, 192.168.56.129: 49169,65.55.15.242: 80
TCP, iexplore.exe, 2988, ustavený, 192.168.56.129: 49172,74.125.95.149: 80
TCP, iexplore.exe, 2988, ustavený, 192.168.56.129: 49174,204.246.230.113: 80
TCP, iexplore.exe, 2988, ustavený, 192.168.56.129: 49175,65.55.149.119: 80
TCP, iexplore.exe, 2988, prokázána, 192.168.56.129: 49177,66.35.45.201: 80
TCP, iexplore.exe, 2988, ustavený, 192.168.56.129: 49178,66.35.45.201: 80
TCP, iexplore.exe, 2988, ustavený, 192.168.56.129: 49179, 66.35.45.201:80
TCP, iexplore.exe, 2988, ustavený, 192.168.56.129: 49180,66.35.45.201: 80
TCP, iexplore.exe, 2988, ustavený, 192.168.56.129: 49181,66.35.45.201: 80
TCP, iexplore exe, 2988, ustavený, 192.168.56.129: 49182,66.35.45.201: 80
TCP, System, 4, poslechu, 0.0.0.0: 445,0.0.0.0: 0
TCP, System, 4, poslechu, 0.0.0.0: 5357,0.0.0.0: 0
UDP, System, 4 *, 192.168.56.129:137,*:*
UDP, System, 4 *, 192.168.56.129:138, *: *
UDP, svchost.exe, 1412, *, 127.0.0.1:1900,*:*
UDP, svchost.exe, 1412, *, 192.168.56.129:1900,*:*
UDP, svchost.exe, 1412, * , 0.0.0.0: 3702, *: *
UDP, svchost.exe, 1412, *, 0.0.0.0:3702,*:*
UDP, svchost.exe, 1164, *, 0.0.0.0:5355,*:*
UDP, svchost.exe, 1412, *, 192.168.56.129:61165,*:*
UDP, svchost.exe, 1412, *, 127.0.0.1:61166,*:*
UDP, iexplore.exe, 2988, *, 127.0.0.1:62646,*:*
UDP, svchost.exe, 1412, * 0.0. 0,0: 64181, *: *
TCPv6, svchost.exe, 668, poslechu, [0: 0: 0: 0: 0: 0: 0: 0]: 135 [0: 0: 0: 0: 0: 0: 0: 0]: 0
TCPv6, System, 4, poslechu, [0: 0: 0: 0: 0: 0: 0: 0]: 445 [0: 0: 0: 0: 0: 0: 0: 0 ]: 0
TCPv6, System, 4, poslechu, [0: 0: 0: 0: 0: 0: 0: 0]: 5357, [0: 0: 0: 0: 0: 0: 0: 0]: 0
TCPv6, wininit.exe, 392, poslechu, [0: 0: 0: 0: 0: 0: 0: 0]: 49152 [0: 0: 0: 0: 0: 0: 0: 0]: 0
TCPv6 , svchost.exe, 716, poslechu, [0: 0: 0: 0: 0: 0: 0: 0]: 49153 [0: 0: 0: 0: 0: 0: 0: 0]: 0
TCPv6, svchost.exe, 884, poslechu, [0: 0: 0: 0: 0: 0: 0: 0]: 49154 [0: 0: 0: 0: 0: 0: 0: 0]: 0
TCPv6, Services.exe, 468, poslechu, [0: 0: 0: 0: 0: 0: 0: 0]: 49155 [0: 0: 0: 0: 0: 0: 0: 0]: 0
TCPv6 , lsass.exe, 476, poslechu, [0: 0: 0: 0: 0: 0: 0: 0]: 49156 [0: 0: 0: 0: 0: 0: 0: 0]: 0
UDPV6, svchost.exe, 1412, *, [0: 0: 0: 0: 0: 0: 0: 1]: 1900 *: *
UDPV6, svchost.exe, 1412, *, [fe80: 0: 0: 0: a49d: 22fc: 6a6: 4daf]: 1900 *: *
UDPV6, svchost.exe, 1412, *, [0: 0: 0: 0: 0: 0: 0: 0]: 3702 *: *
UDPV6, svchost exe, 1412, *, [0: 0: 0: 0: 0: 0: 0: 0]: 3702 *: *
UDPV6, svchost.exe, 1164, *, [0: 0: 0: 0: 0 : 0: 0: 0]: 5355 *: *
UDPV6, svchost.exe, 1412, *, [fe80: 0: 0: 0: a49d: 22fc: 6a6: 4daf]: 61163, *: *
UDPV6, svchost. exe, 1412, *, [0: 0: 0: 0: 0: 0: 0: 1]: 61164, *: *
UDPV6, svchost.exe, 1412, *, [0: 0: 0: 0: 0: 0: 0: 0]: 64182, *: *
Náš výstup je v oddělené čárkou formátu kvůli možnosti "c" jsme zadali. Stejně jako u nás NETSTAT "A" volba umožňuje všechna spojení a možnost "n" říká Tcpvcon, že nebude dělat překlad názvů. Tentokrát výstup z našeho příkazu je zobrazen v šesti sloupců nebo polí, které jsou odděleny čárkou. Zobrazované pole poskytují následující informace v pořadí zobrazené:
Sloupec / Field | Popis |
Protokol | Typ protokolu se používá protokol TCP nebo UDP. |
Proces | Jméno Obrázek běžícího procesu. |
PID | Způsob identifikátor zpracování pomocí místní port. |
Stát | Stav TCP spojení. |
Lokální adresa a port | IP adresa lokálního systému a lokální port používán. |
Cizí adresa a port | IP adresa vzdáleného systému a vzdálený port používán. |
Podívejme se na 20. položku v našem seznamu výstupu z příkazu Tcpvcon jsme narazili výše:
TCP, iexplore.exe, 2988, ustavený, 192.168.56.129: 49177,66.35.45.201: 80
Stejně jako dříve, tento údaj nám říká, máme aktivní TCP spojení z našeho lokálního systému na portu 49177 ke vzdálenému systému s IP adresou 66.35.45.201 na portu 80. A toto spojení je v současnosti zřizována a místní proces s PID 2988 je použití připojení. Ale jako bonus, název obrazu procesu (iexplore.exe) je nyní k dispozici.
Microsoft Technet (nd). Netstat. Citováno zhttp://technet.microsoft.com/en-us/library/bb490947.aspx
Algis Kibirkstis
11. 2009
Mechanismy dvoufaktorová autentizace obyčejně kombinovány "něco víte", jako je například přihlašovací nebo přístupové heslo, s druhým prvkem pro zvýšení spolehlivosti ověřování: buď "něco, co máte" (například přístupové karty nebo tokenu) nebo "něco vy jsou "(jako je například biometrických údajů). Doplňkový faktor V poslední době byla přidána do tohoto seznamu k dalšímu obohacení schopnosti autentizace: "Někde jste", jinak známý jako geolokace. Využití tuto funkci v procesu ověřování multi-faktoru, mohou organizace omezit vzdálený přístup pro zaměstnance žijící v blízkosti pracoviště; a s informacemi cestovní plán, mohou dokonce zavedly zvláštní pravidla pro přístup na podporu silniční spojení bojovník.
Lokální adaptace geolokace mohou být implementovány na podporu dvoufaktorovou autentizaci prostřednictvím používání společného znamení používané v podnikovém prostředí: uživatelské přístupové karty. Prostřednictvím radiofrekvenční identifikace (RFID) nebo podobnými technologiemi, pracovní stanice může být nakonfigurován tak, aby pouze umožnit uživateli provádět ověřování na základě hesla, pokud rádiové čidlo pracovní stanice může detekovat blízkost uživatele přiřazené přístupové karty. Tento model lze dále rozšířit: systémy by mohly být nastaven tak, aby akceptovat požadavky na ověření pouze tehdy, pokud tito uživatelé přistupovat budovu zaměstnavatele pomocí ID karty senzory přístupových umístěné u vchodu zaměstnanec konkrétního budovy; Pracovní stanice rádiové senzory ztrácí signál z občanského průkazu zaměstnance by mohlo vést ke zámek obrazovky na pracovní stanici (což by se stalo, kdyby uživatel odešel od svého pracovního stolu). Výzvy k modelu geolokace, například jak zvládnout uživatelům, že zapomněl kartu z datového centra před opuštěním na služební cestě v zámoří, bude důležité překážky pro rychlé zavedení překonat prostřednictvím politik, pomáhají psací stůl, eskalace a další standardní mechanismy obecně umístěte dnes.
Geolocation je termín používaný v informačních systémech bezpečnostních kruzích extrapolovat geografickou polohu předmětu (systém nebo osoba), na základě dostupných informací. Tato schopnost umístění se běžně provádí izolování IP adresu hostitelského systému je z hlavičky paketů, identifikaci vlastníka rozsah IP adres spojené s cílovým systémem, objevovat poštovní adresu majitele a rozbalování dále - s cílem přesném určení fyzické umístění na cílovou IP adresu. Tento aspekt "rozbalování" je kritická, neboť i když vlastník rozsahu IP adres by být umístěny v jedné části světa, základní funkce směrování může mít některý z jednotlivých IP adres v tomto rozsahu dostupné prakticky odkudkoliv. Organizaci, je správce sítě, vyzbrojený aktuální diagramu sítě a možná i několika Network Discovery nástroje, bude pomocný v pomáhání najít uzel zájmu o své síti.
Z pohledu IDS a IPS, schopnost omezit nebo blokovat provoz na základě geolokace může značně zjednodušit práci správce cenného papíru: v případě, že útok síť pochází z určité země, pakety pocházející z IP adres fyzicky nacházejí v této zemi by mohl být souhrnně klesla po dobu v čase, to vše při nadále přijímat provoz z "přátelštější" oblastech. Podobně organizace, které jen podnikají v některých částech světa by mohla nastavit jejich zodpovědnosti, aby vždy klesnout provoz přicházející z oblastí mimo jejich zón zájmu, čímž omezuje jejich potenciální riziko.
IP2Location: Zpřístupnění Geografie k Internetu
US Patent 7366919 - Použití geo-lokalizačních údajů pro detekci spamu
Podmínky, teorie a výzkum
Intrusion Detection lze definovat jako "... akt odhalování akce, které se pokoušejí narušit důvěrnost, integritu či dostupnost zdrojů."Přesněji řečeno, cílem detekce narušení je identifikovat subjekty, pokoušet se rozvrátit bezpečnostní kontroly na místě.
Běžné typy Intrusion Detection:
detekce narušení sítě na bázi pokouší identifikovat neoprávněnému nedovolené a anomální chování založenou výhradně na provozu v síti. Síť IDS, buď pomocí síťového kohoutek, span port nebo rozbočovač shromažďuje pakety, které procházejí danou síť. Použití sebraná data, procesy systému IDS a vlajky jakýkoli podezřelý provoz. Na rozdíl od systému prevence narušení, což systém detekce narušení není aktivně blokovat provoz v síti. Role sítě IDS je pasivní, pouze shromažďování, identifikace, logování a varování. Příklady Network IDS:
Často označované jako HIDS, detekce narušení založené hostitel pokouší identifikovat neoprávněnému nedovolené a anomální chování na konkrétní zařízení. HIDS obecně zahrnuje agenta nainstalovaného na každém systému, sledování a upozorňování na lokálním operačním systému a aktivitu aplikace. Instalovaný agent použije kombinace podpisů, pravidly a heuristiky identifikovat neoprávněné aktivity. Role hostitele IDS je pasivní, pouze shromažďování, identifikace, logování a upozorňování. Příklady HIDS:
Fyzikální detekce narušení je akt identifikace hrozeb pro fyzické systémy. Fyzikální detekce narušení bezpečnosti je nejčastěji vidět, jak fyzické kontroly zavedeny s cílem zajistit CIA. V mnoha případech se systémy detekce fyzické neoprávněné vniknutí působit jako systémů prevence stejně. Příklady fyzického narušení detekce jsou následující:
prevence narušení následuje stejný proces shromažďování a identifikační údaje a chování, s přidanou schopnost blokovat (zabránění) aktivitu. To lze provést pomocí sítě, hostitele a fyzických systémů detekce narušení.
ID Host-based zahrnuje načítání kus nebo kusy softwaru v systému, který má být monitorován. Vložený software využívá log souborů a / nebo audit agenty systému jako zdroje dat. Naproti tomu na síti ID systém založený monitoruje provoz na svém segmentu sítě jako zdroj dat. Obě sítě založené na a senzorů ID host-based mají výhody a nevýhody, a na konci, budete pravděpodobně chtít použít kombinaci každého z nich. Osoba odpovědná za sledování IDS musí být ve střehu, příslušný správce systému, který je obeznámen s hostitelském počítači, síťová připojení, uživatele a jejich návyky, a veškerý software nainstalovaný na počítači. To neznamená, že on nebo ona musí být odborníkem na samotný software, ale vyžaduje cit pro to, jak se stroj by měl být spuštěn a jaké programy jsou legitimní. Mnoho vloupání byly zadrženy pozorný Sys Admins, kteří si všimli něco "jiného" o svých strojích nebo kteří si všimli uživatel přihlášen v době, atypické pro daného uživatele.
ID Host-based zahrnuje nejen při pohledu na provoz komunikačního dovnitř a ven z jednoho počítače, ale také zkontrolovat integritu systémových souborů a sledování podezřelých procesů. Chcete-li získat úplné pokrytí na vaše stránky s ID hostitele bázi, je nutné zavést ID software na každém počítači. Existují dvě základní třídy softwaru detekce narušení Host-based: hostitelské obaly / osobní firewally a softwarový agent-based. Buď přístup je mnohem efektivnější při detekci důvěryhodných-zasvěcené útoků (tzv anomální aktivita), než je pomocí sítě ID, a oba jsou poměrně účinné pro detekci útoků zvenčí.
Hostitelské obaly nebo osobní firewally může být nakonfigurován tak, aby se podívat na všechny síťové pakety, pokusy o připojení nebo pokusů o přihlášení do monitorovaného stroje. To může zahrnovat i dial-in pokusy nebo jiné non-sítě související s komunikační porty. Nejznámějším příkladem obalu, balíčky jsou TCPWrappers ( http://coast.cs.purdue.edu/pub/tools/unix ) pro Unix a Nuke Nabber (http://www.amitar.com.au/DOWNLOADS/INTERNET/~~HEAD=pobj OCHRANA / NukeNabber_2_9b.html) pro Windows. Osobní firewally mohou také odhalit software na hostitelském pokouší připojit k síti, jako je například WRQ AtGuard ( http://www.atguard.com).
Kromě toho agenti host-based může být schopen sledovat přístupy a změny důležitých systémových souborů a změny v uživatelském oprávnění. Známí komerční verze zahrnují produkty z AXENT (získaného Symantec ), Cybersafe, ( ww.cybersafe.com ) ISS, ( www.iss.net ) a Tripwire ( www.tripwiresecurity.com ). (K dispozici je také Academic Zdroj Uvolnění Tripwire k dispozici, pokud váš web je akademický oddělení státní univerzitě.)
Kromě toho UNIX má bohatou sadu softwarových nástrojů pro provádění detekce narušení. Nikdo balíček bude dělat všechno, a software by měla být přizpůsobena individuálním počítači, který je sledovaný. Například, jestliže stroj má pouze několik uživatelů, možná pouze spojení z vnějšku a integritu systému souborů služeb, které mají být monitorovány; vzhledem k tomu, stroj s velkým množstvím uživatelů nebo síťového provozu může být nutné přísnější kontrolu. Typy softwaru, které pomáhají monitoru počítače patří: systémové a uživatelské soubory protokolu (syslog); Monitorování konektivita (TCPwrappers, lastlog); Monitorování procesů (lsof (http://vic.cc.purdue.edu/pub/tools/unix/lsof http://freshmeat.net/projects/lsof/ ), procesní účetnictví); monitorování využití disku (kvóty); Monitorování (Session možnosti ftpd zaznamenávat všechny přenosy souborů, proces účetních); Kontrolní systém (audit).
Detekce narušení UNIX na hostitelském počítači je jen tak dobrý, jako je těžba dřeva, která to dělá. Programy mohou být napsány pro analýzu log souborů a upozornit Sys správce e-mailem nebo pager, když je něco v nepořádku. Systém protokolování výstupu může být poslán do vzdáleného serveru nebo upravené tak, aby soubory protokolu jsou vloženy do nestandardních místech, aby se zabránilo hackerům zahlazení jejich stop. S převahou hackerů skriptů, sledování domácí pivo lze nastavit dávat pozor na konkrétní případy vloupání. Někteří "must-čte" pro Sys správce nový narušení hostit bázi je praktická Unix a Internet Security pomocí Simson Garfinkel a Gene Spafford, (2. vydání, vydané nakladatelstvím O'Reilly) a Intrusion Detection: Úvod do Internet dozor, korelace , Trace Back, pasti a reakce, Edward Amoroso "(publikoval Intrusion.Net Books). Manuálové stránky pro síťové daemonů poskytnout informace o tom, jak vyrobit protokolování. Jedno ze programů xxxstat (vmstat, netstat, nfsstat) nebo softwaru jako t! 'op ( ftp.groupsys.com/pub/top~~HEAD=pobj ) může pomoci poukázat na podezřelé aktivity. znát svůj systém, a vím, že to dobře.
a skutečně efektivní IDS bude používat kombinaci síti a hostitele na bázi detekce narušení. Zjistit, kde si užít každý typ a jak integrovat data je skutečný a rostoucí znepokojení.
Identifikátor síťový systém na bázi monitoruje provoz na svém segmentu sítě jako zdroj dat. To se obvykle provádí umístěním síťovou kartu do promiskuitního režimu zachytit veškerý síťový provoz, který prochází přes její segment sítě. Síťový provoz na dalších segmentech, a provoz na jiných komunikačních prostředků (jako jsou telefonní linky), nemůže být sledovány. Obě sítě-based a host-based ID snímače mají výhody i nevýhody. Na konci, budete pravděpodobně potřebovat kombinaci obou.
ID založené na síti zahrnuje pohledu na paketů v síti, jak se kolem nějakého senzoru. Senzor může vidět pouze pakety, které se dějí být provedeno na základě ITAS síťovém segmentu připojených k. Pakety jsou považovány za být předmětem zájmu, zda se shodují podpis. Tři základní typy podpisů řetězec podpisy, přístavních podpisy a stav záhlaví podpisy.
String podpisy hledat textový řetězec, který naznačuje možný útok. Podpis příklad řetězec pro systém UNIX by mohla být "kočka" + + "> /.rhosts", který v případě úspěchu by mohl způsobit systém UNIX, aby se stal extrémně citlivé na síťových útoků. Rafinovat řetězec podpis pro snížení počtu falešných poplachů, může být nezbytné použít podpis sloučenina řetězec. Sloučenina řetězec podpis ke společnému útoku webového serveru, může být "cgi-bin" a "aglimpse" a "kdyby".
Port podpisy jednoduše sledovat pokusy o připojení do známých, často útočili porty. Příklady těchto portů zahrnují Telnet (port TCP 23), FTP (TCP portu 21/20), sunrpc (TCP / UDP portu 111) a IMAP (port TCP 143). Pokud některý z těchto portů arenât používá stránky, pak příchozí pakety na tyto porty jsou podezřelé.
Podpisy záhlaví pozor na nebezpečné nebo nelogické kombinace v hlaviček paketů. Nejznámějším příkladem je WinNuke, kde je paket určen pro port NetBIOS a naléhavá ukazatel, nebo mimo pásmo ukazatel je nastaven. To vedlo k "modrá obrazovka smrti" pro systémy Windows. Další známý podpis záhlaví je TCP paket s oběma SYN a FIN příznaky nastavené, znamenat, že žadatel chce ke spuštění a zastavení připojení současně.
Známí, síťové systémy založené na detekci vniknutí zahrnují AXENT (kterou koupila společnost Symantec ), Cisco ( www.cisco.com ), Cybersafe ( www.cybersafe.com ), ISS ( www.iss.net ), a stín (www. nswc.navy.mil/ISSEC/CID).
Dobrá schopnost číslo bude používat jak host- a systémy sítí na bázi. Zjistit, kde si užít každý typ a jak integrovat data je skutečný a rostoucí znepokojení.
Vrstvený přístup lze nejlépe přirovnat jako analogie zvětrávání mimo zimní bouři. Mnoho lidí zná pocit, že jsou přilepená doma během zimní vánice. To, co člověk dělá v zimní bouře jsou na teplo trochu polévky, zase až pec, přitulit se pod přikrývku a rozdělat oheň v krbu. Všechny tyto věci vedou k teplé a bezpečném pocitu při čekání na bouři projít. Je to využití samostatných věcí v domácnosti, která vede k celkovému přístupu, který nám dává tuto teplé a nejasný pocit v zimní bouře. Tak, počítačové bezpečnosti je nejúčinnější, pokud se používá několik vrstev zabezpečení v rámci organizace.
Nejběžnější mylná představa je, že firewall bude zabezpečit své počítačové vybavení a další kroky nemusí být přijata. Firewall je jen jednou ze součástí efektivního modelu zabezpečení. Přídavné komponenty nebo vrstvy by měly být přidány pro zajištění účinného modelu zabezpečení ve vaší organizaci. Model zabezpečení, který bude chránit vaše organizace by měla být postavena na následujících vrstev:
1. Bezpečnostní politika vaší organizace
2. Bezpečnostní hostitelský systém
3. Auditing
4. router zabezpečení
5. firewally
6. systémy detekce průniku
7. Plán odezva incidentu
Použití více vrstev v modelu zabezpečení je nejefektivnější metoda odrazování neoprávněnému použití počítačových systémů a síťových služeb. Každá vrstva poskytuje určitou ochranu před napadením ze sítě, a porážka jedné vrstvy nesmí vést ke kompromisu celou organizaci. Každá vrstva má určitou vzájemnou závislost na ostatních vrstvách. Například systémy detekce a plán reakce na incidenty mít nějaké vzájemné závislosti. I když mohou být prováděny nezávisle na sobě, je nejlepší, když jsou realizovány společně. Mít systém detekce průniků, který vás může upozornit na neoprávněné pokusy o vašem systému má malou hodnotu, pokud plán Incident Response je na místě vypořádat se s problémy. Nejdůležitější součástí celkové bezpečnostní organizace je bezpečnostní politika. Musíte vědět, co je třeba chránit a do jaké míry. Všechny ostatní vrstvy modelu zabezpečení následovat logicky po realizaci organizace bezpečnostní politiky.
Stručně řečeno, systém detekce narušení bezpečnosti je jen jednou ze součástí efektivního bezpečnostního modelu pro organizaci. Celková ochrana integrity vaší organizace je závislá na realizaci všech vrstev modelu zabezpečení. Realizace vrstveného přístupu k bezpečnosti by měly být prováděny v logickém a metodickým způsobem pro dosažení nejlepších výsledků a zajistit celkovou duševní zdraví bezpečnostních pracovníků.
Existují dva doplňující přístupy k detekci průniků, přístupy založené na znalostech a přístupů chování vychází. Tato položka popisuje první přístup. Téměř všechny IDS nástroje jsou dnes založenou na znalostech. To se také vztahuje k v literatuře jako detekce zneužití.
Techniky detekce narušení založené na znalostech aplikovat poznatky nashromážděné o konkrétních útocích a systémových zranitelností. Detekce narušení Systém obsahuje informace o těchto chybách a hledá pokusy o zneužití těchto chyb. Je-li detekován jako pokus, spustí se poplach. Jinými slovy, každá akce, která není výslovně uznán jako útok je považován za přijatelný. Proto je přesnost systémů detekce narušení založených na znalostech je považováno za dobré. Nicméně, jejich úplnost (tedy k tomu, že se zjistit všechny možné útoky) závisí na pravidelné aktualizaci znalostí o útoku.
Výhody přístupů založených na znalostech tak, že mají potenciál pro velmi nízké ceny planý poplach a kontextuální analýzy navržené detekce narušení systému je podrobně popsáno, usnadňuje bezpečnostním technikem použití tohoto systému detekce narušení bezpečnosti, aby přijaly preventivní nebo nápravná akce.
Nevýhody patří obtížnost získávání požadovaných informací o známých útoků a udržet ho až do dnešního dne s novými zranitelností a prostředí. Údržba znalostní bázi detekce narušení systému vyžaduje pečlivou analýzu každého zranitelnosti, a je tedy časově náročný úkol. Přístupy založené na znalostech také muset čelit problému generalizace. Znalosti o útocích je velmi soustředěný, závisí na operačním systému, verze, platformy a aplikace. Výsledný nástroj detekce narušení bezpečnosti je proto úzce spjat s daným prostředím. Také, detekce zasvěcených útoky zasahující zneužití výsad je považováno za obtížnější, protože žádná chyba je ve skutečnosti zneužita útočníkem.
Existují dva doplňující přístupy k detekci průniků, přístupy založené na znalostech a přístupů chování bázi. Tato položka popisuje druhý přístup. Je třeba poznamenat, že jen velmi málo nástrojů dnes realizovat tento přístup, a to i v případě, že zakládající Denning papír {D. Denning, detekčního Model Intrusion, IEEE Transactions on softwarového inženýrství} rozpozná toto jako požadavek pro IDS systémy.
Techniky detekce narušení chování založené na předpokládat, že narušení může být detekována pozorováním odchylku od normální nebo očekávané chování systému nebo uživateli. Model normální nebo platného chování je získávána z referenčního informací shromážděných různými prostředky. Detekce narušení Systém porovnává později tento model s aktuální aktivitou. Je-li pozorována odchylka, je spuštěn alarm. Jinými slovy, něco, co neodpovídá dříve naučené chování je považováno za obtěžující. Proto systém detekce narušení může být kompletní (tj všechny útoky by měly být chycen), ale jeho přesnost je obtížný problém (tj dostanete spoustu falešných poplachů).
Výhody přístupů chování bázi je, že dokáže detekovat pokusy o zneužití nové a nepředvídané zranitelná místa. Mohou dokonce přispět k (částečně) automatického zjišťování těchto nových útoků. Oni jsou méně závislé na mechanismech operačního systému specifické. Pomáhají také odhalit "zneužití privilegia" typům útoků, které nejsou ve skutečnosti zahrnují využití žádnou chybu zabezpečení. Stručně řečeno, je to paranoidní přístup: Vše, co nebyl viděn předtím je nebezpečné.
Vysoký počet falešných poplachů, je obvykle uváděn jako hlavní nevýhodou technik založených na chování, protože celý rozsah chování informačního systému nesmí být zahrnuty ve fázi učení. Také chování může v průběhu času měnit, zavedení potřebu pravidelného on-line rekvalifikaci profilu chování, což vede buď v nedostupnosti detekce narušení systému nebo v dalších falešných poplachů. Informační systém může podstoupit útoky u Zároveň Intrusion Detection System je učení chování. V důsledku toho, profil chování obsahuje rušivé chování, které není detekován jako neobvyklé.
(aktualizováno 1/8/00)
Evolution
Když mluvíme o systémech detekce narušení (IDS), řízení automaticky předpokládal, že to je řešení pro všechny sítě, organizace a sociální problémy. Většina lidí se zabývají touto technologií, jako je monolitický řešení. To není dobrý způsob, jak posoudit jakoukoli bezpečnostní technologie, to nefunguje takhle. Většina nedokáže rozpoznat, že IDS "původní návrh a funkcí je chránit důležité informace organizace z outsidera.
Nicméně, toto je nyní pomalu mění, stejně jako další organizace chtějí sledovat své "sítě", protože studie ukazuje, že většina všech ztrát v komerčním sektoru zahrnují zasvěcenci. Nyní chtějí používat IDS v některém z následujících kombinací: Chcete-li vypátrat zasvěcené, chytit při činu, získat důkazy potřebné k trestnímu stíhání, oheň je nebo si je před soud pro obvinění.
Dalším faktorem je, aby zvážila technologie je stále ještě v plenkách a průniky dostat vynechal kvůli jeho nezralosti. RAID'99 zjistili, že s cílem dosáhnout svého plného potenciálu jako forenzní nástroj, role IDS "se musí vyvíjet, aby zahrnovala lepší logování a A sbírek forenzní nástroje používat informace jako důkaz ( http://www.raid-symposium.org / ).
Nové útočné techniky jdou ven každý měsíc a technologie IDS se musí přizpůsobit těmto rychlým změnám. Seznam všech známých útoků se neustále mění omítkou kodifikuje statistickou "podpis" nový útok skličující úkol pro VaV laboratoře.
Současné Network Intrusion Detection System (NIDS) výrobky (první generace) používají převážně pasivní přístup ke shromažďování údajů pomocí protokolu analýzy tím, že sleduje provoz na síti. Většina IDS byly postaveny na podpisovém základny a detekce anomálií, které poskytují schopnost hledat nastavte "vzory" v paketech, ale mohou být také naladěn hledat věci, které by nikdy vidět. Přidáním konkrétního řetězce hledání podpisem (tj hledat důvěrné), těžba dřeva a reset TCP funkce výrazně zvyšuje schopnost IDS jako nástroj detekce a ochrany.
Práce vykonaná ve společném zabezpečení a ohrožení (CVE) redakční rady je výsledkem společného úsilí, které budou předem a standardizovat jména útoku a definice napříč dodavatelů. Vzhledem k tomu, jejích implementacích (1999), velký počet organizací prohlásili, že se snaží, aby jejich výrobek nebo databáze CVE-kompatibilní. Tento seznam si můžete prohlédnout na http://cve.mitre.org .
IDS zítřka
kvůli neschopnosti NIDS vidět všechny provoz na změnil Ethernet, mnoho firem se nyní obracejí IDS na Host-based (druhé generace). Tyto produkty lze použít mnohem efektivnější detekce narušení technik, jako je heuristických pravidel a analýzy. V závislosti na sofistikovanost senzoru, může také naučit a vytvořit uživatelské profily jako součást své databáze chování. Mapovat to, co je normální chování v síti by být provedeno v průběhu doby.
Síla a Limity čelí IDS
Dnes si uvědomujeme, že IDS se vyvinuly a jsou stále velmi mnoho výzkumných etap, aby rafinace a pohybem vpřed technologie (RAID 2000 na http://www.raid-symposium.org/raid2000/ ). Nicméně, zde je seznam výhod a omezení, aby zvážila před jejich nasazením:
Pevnost
limity
Jako součást strategie Total obrany organizace, které poskytují dodatečnou ochranu a odstrašování proti:
Total Defense Strategy
IDS je jen další část nástrojem dobré bezpečnostní architektury a strategie mnohovrstevný obrany. To má své silné a slabé stránky, které je třeba posuzovat a zvažovat i předtím, než bude učiněno rozhodnutí nasadit jeden na síti. Toto rozhodnutí může být provedena poté, co testovat dva nebo tři proti svému výchozímu stavu v laboratorním prostředí. Tímto způsobem můžete změřit co nejpřesněji jeho účinky proti vaší sítě (tj vytížení, přesnost detekce, atd.). Můžete také chtít zkontrolovat některé IDS laboratorní studie. V listopadu 1999, jeden byl publikován Network Computing v http://www.nwc.com/1023/1023f1.html
Síla IDS je, že se ukazuje pozitivní stupeň připravenosti, které mohou být důležité pro dlouhodobý úspěch. Pokud se vaše firma je závislá na síťování, IDS je dobrý obchod a stojí za návrat.
Jednoduše řečeno, falešně pozitivní je každý normální nebo očekávané chování, který je identifikován jako anomální nebo škodlivé. To může spadat do několika kategorií.
1. Některé legitimní aplikace nemusíte striktně dodržovat dokumenty RFC. Podpisy zapsaná do RFC může vyvolat, pokud tyto aplikace běží.
2. Aplikace není vidět ve fázi vyškolení jednoho detekce anomálií systému bude pravděpodobně spustí poplach, když se aplikace pokusí spustit.
3. Podpis může být psán příliš široce, a tudíž zahrnují jak legitimní a nelegitimní provoz.
4. Anomální chování v jedné oblasti organizace může být přijatelné, zatímco vysoce podezření, že v jiné zemi. Jako příklad NBT provoz je normální v prostředí Windows LAN, avšak není obecně očekává, že na internetu.
Nejedná se o vyčerpávající seznam, ale nejčastější místa, která mohou mít IDSes falešných poplachů.
Když vezmete v úvahu všechny různé věci, které se mohou pokazit způsobit falešný poplach není divu, že falešně pozitivní výsledky jsou jedním z problémů, kterým čelí larges někoho, kdo provádí IDS.
Hlavním problémem, který falešně pozitivních vytvořit je, že mohou snadno přehluší legitimní IDS upozornění. Jediný pravidlo způsobující falešné poplachy lze snadno vytvářet tisíce záznamů v krátkém časovém období. Je-li předpoklad, že udělal analytik můžete prohlédnout jedno upozornit každých pět minut, analytik můžete prohlédnout kolem 100 záznamů za den. Přezkoumání jeden záznam každých pět minut je příliš rychlý na důkladné analýze, ale můžeme předpokládat, že některé výstrahy nebude vyžadovat důkladnou analýzu snížit průměrnou dobu potřebnou pro analýzu. Při pohledu na tato čísla je zřejmé, že pouze malý počet falešných pozitiv může přehlušit legitimní výstrahy. Výstrahy pro pravidla, která způsobuje opakovaná falešné poplachy jsou často ignorovány nebo zakázán. Od této chvíle je organizace efektivně slepý k útoku problematický pravidlo hledal.
Téměř každé pravidlo může vytvářet falešně pozitivní. Umění vedení IDS je naučit, jak minimalizovat falešných poplachů, aniž by oslepující organizace na příslušné útoky.
Falešně negativní jsou jakékoliv výstrahy, které by se stalo, ale neudělal to.
Existuje celá řada důvodů pro falešně negativních výsledků, včetně:
1. V systému založeném na podpisovém tam bude období, kdy se nové útoky nebyl uznán.
2. Mnoho útočníci se často mění svůj útok jen natolik, aby vyhnout aktuálních signatur. Mnoho útok toolkits patří schopnost poplést útok na běhu.
3. Stejně tak v systému založeném na podpisovém pravidlo může být napsán tak pevně, že to bude chytat pouze podmnožinu cílem útoků. Například pravidlo může zachytit útok nástroj, ale ne Útok nástroj B přestože oba nástroje využívají stejnou chybu.
4. V prostředí, která spočívá v detekci anomálií nebo na bázi detekce narušení systému hostitele (HID) spoléhá na změny souborů předpoklad musí být, že v době trénování sítě nebo systém nebyl ohrožen. Pokud to není pravda, že bude falešně negativní pro jakékoliv již využívaných podmínek.
5. Přetížené IDS klesne pakety potenciálně způsobit falešně negativní.
Falešně negativní vytvořit dva problémy. Za prvé, jsou tam chyběl útoky, které nebudou zmírněny. Za druhé, a pravděpodobně ještě důležitější, falešně negativní dávat falešný pocit bezpečí.
No, v první řadě je to velmi obtížné odhalit průniky. Jsme svědky pouze první generace komerčních nástrojů, a jsou omezeny ve svém rozsahu. Je však jasné, že dnešní nástroj buď generovat velké množství falešných pozitiv (tj signalizace útok, když žádná taková není) nebo vynecháte útoky. Dokonce i nástroje na bázi signatur útoku generovat velký počet falešných poplachů, v nejvíce neočekávaných případech.
Jeden z nejvíce zřejmých důvodů, proč dochází k falešným poplachům je proto, že nástroje jsou bez státní příslušnosti. Pro detekci vniknutí, jednoduché vzorů podpisů je často nedostatečná. Nicméně, to je to, co většina nástrojů dělat. Pak, v případě, že podpis není pečlivě navržen tak, že bude spousta zápasů. Například nástroje pro detekci útoků v sendmail tím, že hledá slov "debug" nebo "Wizard" jako první slovo řádku. Je-li to v těle zprávy, to je v podstatě neškodný, ale v případě, že nástroj, nerozlišuje mezi záhlaví a tělo zprávy, potom se generuje falešný poplach.
Dalším příkladem společnosti s http žádostí o špatné skripty. Člověk by vlastně chtěla vědět, zda žádost byla úspěšná, nebo ne, protože je to velmi odlišný příběh reagovat. V druhém případě se jedná o menší nepříjemnost, v prvním nebezpečného porušení bezpečnosti. Vzhledem k tomu, nástroje nemají ponětí o relaci, vytvoření takového podpisu je poměrně obtížné.
Ve falešné pozitivní oblasti, může nástroje není zvládnout množství dat, které mají být analyzovány. Mějte na paměti, že 99,99% analyzovaných údajů je k ničemu, a že pro každý z těchto kusů dat, všechny útočné testy mají být provedeny! Z tohoto důvodu přesnosti je často obchoduje na rychlost. Také existuje mnoho způsobů, jak detekovat útok, a někdy i útočníci rychle přijít s novými metodami, které obcházejí mechanismus detekce.
A konečně, existuje mnoho dění v průběhu normálního života jakéhokoli systému nebo sítě, které mohou být zaměněny za útoky. Mnoho sysadmin aktivity může být katalogizovány jako anomální. Z tohoto důvodu by měla být stanovena jasná korelace mezi útočných dat a administrativních dat cross-zkontrolovat, že všechno děje v systému je vlastně žádoucí.
Hostitel bašta je počítač, který je plně vystavena útoku. Systém je na veřejné straně demilitarizované zóny (DMZ), nechráněné firewallem nebo filtrování směrovače. Často role těchto systémů jsou velmi důležité pro zabezpečení sítě systému. Ve skutečnosti jsou firewally a routery lze považovat za bašta hostitelů. Vzhledem k jejich vystavení hodně úsilí musí být uveden do navrhování a konfiguraci bašta hostitelů, aby se minimalizovalo šance na proniknutí. Jiné typy bašta hostitelů zahrnují web, mail, DNS a FTP servery. Někteří správci sítě použít také obětní beránky jako bašta hostitelů, tyto systémy jsou záměrně vystaveny potenciální hackery k oběma zpožděním a usnadnit sledování pokusů o vloupání.
Efektivní bašta hostitelé jsou nastaveny velmi odlišně od typických hostitelů. Každý hostitel bašta plní specifickou roli, všechny nepotřebné služby, protokoly, programy a síťové porty jsou zakázány nebo odstraněny. Bastion hostitelé nesdílejí autentizační služby s důvěryhodných hostitelů v síti tak, že pokud je ohrožena bašta vetřelec stále nebude mít "klíče k zámku." Hostitel bašta je tvrzená omezit potenciální způsoby útoku. Konkrétní kroky, které se vytvrzují konkrétní bašta hostitele závisí na zamýšleném úlohu tohoto hostitele, jakož i operační systém a software, který bude spuštěn. Seznamy řízení přístupu (ACL) budou upraveny na souborovém systému a dalších objektů systému; všechny nepotřebné porty TCP a UDP budou zakázány; Všechny non-kritické služby a démoni budou odstraněny; tolik utility a konfigurace systému nástroje jak je praktická zkouška bude také odstraněn. By měly být nainstalovány všechny příslušné servisní balíčky, horké opravy a záplaty. Protokolování všech událostí souvisejících s bezpečností musí být zapnutý a musí být přijata k zajištění integrity protokolů tak, že úspěšný útočník je schopen vymazat důkaz o své návštěvy kroky. Jakékoli místní uživatelský účet a heslo databáze by měly být zašifrovány, pokud je to možné.
Posledním krokem k zajištění hostitele bašta může být nejtěžší: zajištění bez ohledu síťových aplikací hostitel běží. Velmi často dodavatelem serveru web nebo streaming médií nebere v úvahu bezpečnostní rizika při vývoji svých produktů. Je obvykle do systémového administrátora zjištění, testováním, co ACL, které potřebují ke změně uzamknout aplikace k síti tak důkladně, jak je to možné bez zakázání právě ty vlastnosti, které z něj dělají užitečný nástroj. Je také nutné pozorně sledovat nejnovější oznámení od dodavatele týkající se bezpečnostní problémy, řešení a záplaty. Čím více populární síťové aplikace také tendenci inspirovat vznik samostatných e-mailových konferencí, diskusních skupin, a webové stránky, které mohou být sledovány pro další postřehy.
Lawrence R. Halme halme@arca.ca.com
R. Bauer Kenneth bauer@arca.ca.com
Arca Systems, Inc.
2540 North First Street, Suite 301
San Jose, CA 95131 do 1016
Abstrakt: Tato práce zkoumá základní podkladové zásady kontroly narušení a destiluje vesmír anti-narušení technik do šesti vysoké úrovni, vzájemně se podporujících přístupy. Systémové a síťové útoky lze zabránit, předešel, prohnuté, odrazen, detekován a / nebo samostatně kontroval. Tato Anti-Intrusion taxonomie (Aint) anti-vniknutí technik považuje za méně prozkoumaných přístupy k periferii "EZS", které jsou nezávislé na dostupnosti bohatého auditní stopa, stejně jako známější detekce narušení technik. Podobně jako Open Systems Referenční model podporuje porozumění komunikačních protokolů identifikací jejich vrstvy a účel, autoři věří, že toto anti-Intrusion taxonomii a související metody a techniky pomoci objasnit vztah mezi anti-vniknutí technikami popsanými v literatuře a akcemi prováděnými v komerčně dostupných produktů. Taxonomie lze použít k posouzení výpočetních prostředích, která možná již podporují Intrusion Detection System (IDS) implementace pomoci identifikovat užitečných doplňkových Intrusion Defense přístupy.
Klíčová slova: Intrusion, detekce, zneužití, anomálie, protiopatření, taxonomie.
1.0 Úvod
Boj proti počítačový systém průniky byly v minulosti součástí preventivní design, konfiguraci a provoz techniky, aby vniknutí obtížné. S vědomím, že vyklenutí k funkcím obavy a rozpočtovým omezením theseefforts budou nedokonalé, pojetí bylo navrženo pro detekci vniknutí analyzuje shromážděná data auditu. Studie detekce anomálií byla předběžným postulátu, že by bylo možné rozlišovat mezi masquerader a oprávněný uživatel tím, že pozná odchylky od použití historického systému [AND80]. To bylo doufal, že analýza přístup k auditu by bylo užitečné určit nejen suchary, kteří získali informace o identifikaci a autentizaci, aby umožnily vydávat za oprávněné uživatele, ale také legitimní uživatele, kteří hráli neoprávněnou aktivitu (misfeasors). Ilegální uživatelé schopni obejít bezpečnostní mechanismy jiný identifikován problém byl, ale považována za těžší rozpoznat, protože by mohly ovlivnit auditování systému.
Brzy hands-on experimenty potvrdily, že uživatel pracovní modely mohou být rozlišeny s využitím stávajících auditní stopu [HAL86]. Techniky se diskutovalo, aby audit, který byl původně určen především pro účetní účely, vhodnější bezpečnostní analýzy. Model byl vyvinut, který se domníval, hodně z rámce pro obecné použití systému detekce narušení [DEN87]. Detekce narušení vědci rozdělili na dva tábory - ty, kteří hledají signatury útoku v datech o auditu, který oznamuje známým zneužití (např MIDAS [SEB88]), a ty, kteří hledají důkazy o použití, která je anomální z historických norem (např IDES [LUN88a]) , Komplementární kombinace těchto přístupů do vyšetřovací nástroj s autonomní reakci na mimořádně ohrožující deviace bylo navrženo [HAL88]. Průzkum dokumenty svědčí o dramatickém nárůstu počtu výzkumného úsilí vyšetřovat různé anomálie a zneužití detekce přístupy ([LUN88b], [TIS90]).
Na počátku devadesátých let viděl test a komerční instalace a provoz řady IDSâs včetně IDES SRI a NIDES, kupka sena Laboratoř Inc. Haystack a Stalker a distribuovaný systém detekce Air Force Intrusion (Requirements). Důraz rozšířena o integraci zdrojů auditu z mnoha heterogenních platforem, a přenositelnost platformy. Distribuované detekce narušení je těžištěm práce na University of California v Davisu [HEBE92] au letectva [DIDS91]. Detekce narušení bezpečnosti zůstává i nadále aktivní pole výzkumu.
Ačkoli hodně jsme se naučili z těchto snah zaměřených na výzkum, jejich důraz byl kladen na rozvoj optimalizovaných technik pro detekci vniknutí. Méně myšlenka byla dána k vytvoření funkční schéma doplňkových anti-vniknutí přístupů. Počítačové a internetové zneužití stal častým tématem todayâs médiích hlavního proudu, a poptávka po anti-narušení technologie prudce roste. Nicméně, detekce narušení produkty jsou dosud esoterické a nejsou dobře integrovány, aby spolupracovaly s doplňkovými přístupy, jako jsou vniknutí prevence firewally. Taxonomie představujeme v tomto dokumentu se snaží dát perspektivu a porozumění pomoci. To poskytuje základ pro formulaci systematicky a komplexně proti vniknutí přístup kategorizace a podporuje více řešení přiblížení.
2,0 Anti-Intrusion Přístupy
Během posledních patnácti letech Velký důraz byl kladen na detekci jako nejplodnější oblasti výzkumu a vývoje v boji proti dotěrným aktivitu (oba z vnějších sušenek, jakož i zasvěcenci zneužívat svých privilegií). Méně považován byly jiné doplňkové anti-vniknutí techniky, které mohou hrát cenné role. Jako pracovní prostředí stále propojeny a vystaveny budou poskytovatelé služeb potřebují stále více spoléhat na širokou škálu proti vniknutí techniky, nejen IDS. Tento dokument organizuje tyto techniky (ilustrovaný na obrázku 1) do Anti-Intrusion taxonomii (Aint). Dále jen "filtrování" úspěšných průniků je graficky znázorněna zúžení úspěšného pokusu o vniknutí pásmu.
Následující text popisuje šest anti-vniknutí přístupy. Zajišťujeme také analogickou reálného světa ilustraci každý přístup, která platila pro potírání možnost, že vaše peněženka odcizen chůzi dolů městské ulice. Sekce následovat která propracovaný, jak tyto přístupy se vztahují k počítačovým systémům v rámci Aint.
3.0 Prevence narušení
prevence narušení techniky (vynucené interně nebo externě do systému) se snaží, aby se zabránilo nebo alespoň těžce poškozují pravděpodobnost úspěchu konkrétního vniknutí. Tyto techniky pomáhají zajistit, že systém je koncipován tak dobře, navrženy, implementovány, nakonfigurovat a provozovány, že příležitost pro průniky je minimální. Vzhledem k tomu, vestavěný prevence se snaží znemožnit vniknutí do vozidla dojde na cílovém systému, to může být považováno za nejsilnější anti-vniknutí techniku. V ideálním případě by tento přístup zabránit všem vniknutí, negovat potřebu pro detekci a následné reakce technik. Nicméně, ve skutečném světového systému tato technika sama dokazuje neudržitelný a je nepravděpodobné, které mají být provedeny, aniž některých zbývajících využitelných poruch a závislosti na konfiguraci / údržbu. Add-on preventivní opatření proti rozšiřovat obranu existujícího systému patří zranitelnosti skenovací nástroje a síťových firewallů.
4.0 Intrusion Preemption
Intrusion Preemption techniky stávka útočně před pokus o útok ke zmírnění pravděpodobnosti určitého vniknutí vyskytující později. Tento přístup zahrnuje takové techniky jako je vzdělávání uživatelů, propagaci legislativy pomáhat při odstraňování příznivého prostředí pro vniknutí, přičemž včasná opatření proti uživatele, který se zdá stále více se odchyluje od rovný-and-úzké a infiltrovat cracker společenství, aby se dozvědět více o techniky a motivace. Spíše než reaktivní obranu nabízených detekce a protiopatření, předkupní vztahuje k aktivnímu zásahu proti zdroji dosud nezahájeném průniky. Nekontrolovaná použití těchto technik může představovat civilní otázky svobody.
5.0 Intrusion Zastrašování
Intrusion Zastrašování se snaží, aby jakýkoli pravděpodobné, že odměna z pokusu o narušení jeví větší problémy, než to stojí. Varovná podporovat útočníkovi přejít na jiný systém s více slibné vyhlídky nákladů a přínosů. Tento přístup zahrnuje devalvující zdánlivou systém v hodnotě přes maskování a zvýšení vnímané riziko přistižení tím, že zobrazuje upozornění, zvyšovat paranoiu aktivního monitorování a vytvoření překážky proti nežádoucímu použití. Intrusion varovná liší od mechanismů prevence narušení v tom, že jsou slabší připomínkou / nepohodlí mechanismy, spíše než vážné pokusy, aby se zabránilo vniknutí.
6,0 Intrusion Deformace
Intrusion Deformace napálí vetřelce do podezření, že uspěl v přístupu k systémové prostředky, zatímco místo toho byl přitahován nebo odsunut do speciálně připravené, kontrolovaném prostředí pro pozorování (tj "ohrádka" nebo "vězení"). Řízené monitorování neopatrného vetřelce šířící se z jeho triků je vynikajícím zdrojem informací útoku bez zbytečného rizika pro "skutečné" systém [STO89]. Některé systémové prosazována deformace techniky mohou být považovány za zvláštní druh protiopatření, ale koncept zahrnuje také techniky, které nevyžadují chráněné systém tak, aby bylo někdy přistupovat pomocí vetřelce (např, "zesvětlení tyč systémy").
7,0 Intrusion Detection
Intrusion Detection zahrnuje ty techniky, které se snaží diskriminovat pokusů o průnik z normálního používání systému a upozornit SSO. Obvykle se údaje systémový audit je zpracován pro podpisy známých útoků, anomální chování a / nebo konkrétními výsledky zájmu. EZS, a to zejména profilování, je obvykle založen na schopnosti získat přístup a analyzovat data auditu dostatečné kvalitě i kvantitě. Je-li detekce provádí téměř v reálném čase, a SSO je k dispozici, by mohl působit pro přerušení vniknutí. Vzhledem k této nezbytnosti člověka k dispozici zasáhnout, detekce narušení není tak silný přístup jako Intrusion protiopatření, jak to je více pravděpodobné, že úsilí vniknutí bude dokončena dříve, než manuální úsilí může přerušit útok. Intrusion Detection může být provedeno po faktu (jako v posmrtné analýze auditu), v téměř reálném čase (podpora SSO zásah nebo interakci s vetřelcem, jako je například trasování v síti-zpět do výchozího bodu), nebo v reálném čase (na podporu automatizovaného protiopatření).
7,1 Anomaly Detection
Anomaly Detection porovnává pozorovanou aktivitu proti očekávaným běžných profilů používání, které mohou být vyvinuty pro uživatele, skupiny uživatelů, aplikací nebo zátěži systémových zdrojů. Záznamy událostí auditu, které nespadají do definice normálního chování jsou považovány za anomálie.
7.2 Zneužití detekce
Detekce Zneužití v podstatě kontroluje "činnost, která je špatné" se oproti abstrahovaných popisů nežádoucí činnosti. Tento přístup se snaží vypracovat pravidla popisující známý nežádoucí využití (na základě minulých prostupů nebo činnost, která je se domníval, by zneužít známé slabiny) spíše než popisovat historický "normální" je s nimi nakládáno. Pravidla mohou být zapisována do uznat jediné kontrolovatelné událost, která sama o sobě představuje hrozbu pro bezpečnost systému nebo sledu událostí, které reprezentují prodlouženou scénář průniku. Účinnost stanovených pravidel detekce zneužití je závislá na tom, jak dobře se vývojáři (nebo následně SSOâs) jsou o zranitelnosti. Detekce zneužití mohou být realizovány prostřednictvím rozvoje odborných pravidel systému, model usuzování nebo systémy státní přechod analýzy nebo neuronové sítě.
7.3 Hybridní Zneužití / detekce anomálií
Hybridní detektory přijmout nějaké doplňující kombinace zneužití a detekce anomálií přístupy běží paralelně nebo sériově. Činnost, která je označena jako anomální nemusí být si všiml monitorováním detektoru zneužití proti popisy známých nežádoucí aktivitu. Například, jednoduché listování pro soubory, které obsahují řetězec "jaderný" nesmí ohrozit bezpečnost nebo integritu systému, ale to by bylo užitečné informace pro SSO přezkoumat, jestli to bylo neobvyklé aktivity pro určitý účet. Podobně účet správce může často demonstrovat přístup k citlivým souborům a mít profil povolit, ale bylo by užitečné, aby tento přístup vedl ještě být kontrolovány proti známým zneužití podpisů. Došlo k poměrně velká shoda v anti-vniknutí komunity, že efektivní a zralé detekce narušení nástroje musejí spojit oba zneužívání a detekce anomálií. Tam je rostoucí operační pole důkazy o tom, že detekce anomálií je užitečná, ale vyžaduje dobré informace podzemních zásobníků plynu v každém místě ke konfiguraci a naladit detektor proti vysokou mírou falešných poplachů. Systémy detekce anomálií nejsou klíč a vyžadují propracovanou podporu nejméně do profily stabilizované.
7.4 Kontinuální systém zdravotní monitorovací
Útoky mohou být detekovány pomocí soustavné aktivní sledování klíč "zdravotní systém" faktory, jako je výkon a použít účet v klíčových systémových zdrojů. Tato technika je pružnější a sofistikovanější, než statická konfigurace dáma, jako takový nástroj bude běžet nepřetržitě jako proces na pozadí. Zaměřuje se na identifikaci podezřelých změn v opatřeních činnosti celého systému a využití systémových zdrojů. Příkladem je sledovat provoz v síti protokol v průběhu času, hledá pro porty dochází k neočekávané zvýšení provozu. Práce je třeba udělat, aby rozvíjet a opatření naladit celého systému, a pochopit význam zjištěných odchylek.
8,0 Intrusion protiopatření
zabezpečovací protiopatření posílit systém se schopností přijmout autonomní opatření, která reagují na vnímané pokus o narušení. Tento přístup se snaží řešit omezení detekce narušení mechanismů, které se musí opírat o neustálé pozornosti jako SSO. Většina výpočetní prostředí nemají prostředky na věnovat SSO ke sledování detekce narušení na plný úvazek, a už vůbec ne po dobu 24 hodin denně, sedm dní v týdnu. Dále, člověk SSO nebude schopna reagovat při rychlostech zpracování stroj v případě, že útok je automatizovaný - současná IP spoofing útoku přidělený Kevin Mitnick byl do značné míry automatizován a dokončena za méně než osm minut [SHI95]. Pověřena řádného oprávnění, systém bude mít mnohem větší pravděpodobnost přerušení vniknutí probíhá, ale riskuje falešně reakci proti platným použití. Co musí být zabráněno je případ, kdy je uživatel dělá něco neobvyklého nebo podezřelého, ale pro poctivé důvodů, a je neoprávněně zatížen vynechávání zapalování protiopatření. Panuje obava, že generál Brassknuckles bude rozzuřený tím, že hrubě uzamčení systému, protože běží nad povolený počet stran pro tisk, pouze odráží odvratitelné, příliš agresivní konfiguraci protiopatření.
Dva primární vniknutí protiopatření techniky jsou autonomně jednající IDS a znepokojeni systémové prostředky. Ačkoli bývalý může být považován jednoduše dávat detekce narušení techniky zuby, druhý bude reagovat na podezřelé akce v systému, aniž by zpracování osobních údajů audit provést "odhalení".
ICE nabízí celou řadu výhod oproti ručně hodnocených IDSâs. Systém může být chráněna, aniž by vyžadující SSO být neustále přítomen a schopen a ochoten učinit okamžité, na místě složité rozhodnutí. ICE nabízí non-nepozorný, objektivní, kolem non-stop odpověď na to i automatizované útoky. Vzhledem k tomu, ICE trpí stejnými otázkami diskriminace a řídících profil jako detekce narušení mechanismů, ale s potenciálně bez lidského zásahu, je třeba dbát na to, služba není narušena v kritické době podle inženýrství popření servisních útoků.
9.0 Závěr
Tento dokument zavedla komplexní anti-vniknutí taxonomii pracuje shora dolů na teoretické úrovni a zdola nahoru tím, geodetické realizované přístupy a ty diskutovány v odkazované literatuře. Cvičení taxonomii proti reálných životních analogií posílila a zvýšila intuitivní pochopení pojmů. Nové proti vniknutí techniky bude i nadále rozvíjet v tomto rychle se rozvíjejícím oboru výzkumu, který se může rozšiřovat naše taxonomii. Tato taxonomie bude sloužit jako užitečný nástroj pro katalog a posoudit proti vniknutí technikami používanými v konkrétní implementaci anti-narušení systému. Předpokládá se, že naše metoda organizace poskytne nový pohled na výzkumné komunity proti vniknutí. Autoři jsou aktivní pracovníci v oboru a rádi odpovídají ohledně dodatky nebo úpravami.
10.0 Reference
Byli jsme svědky sondy k portu 1080, požádal jsem analytik trvat minutu a dokumentovat, co dohoda je s 1080. Zde je Christopher Misraâs sepsat a on je stále dělá trochu výzkum:
Port 1080 je používán SOCKS proxy server síťových protokol. Je navržen tak, aby hostitele mimo firewall pro připojení transparentně a bezpečně přes firewall. V důsledku toho se některé stránky mohou mít portu 1080 otevřen pro příchozí připojení k systému se systémem démona ponožky. Jeden z více obyčejných použití ponožek se zdá být umožnění ICQ provoz do počítačů, které jsou za firewallem.
Jeden obyčejný balíček, který poskytuje tuto funkci je Wingate (wingate.deerfield.com). Notoricky nejistý balíček, který poskytuje přesměrování telnet mimo jiné špatné věci ... Skenování na portu 1080 se zdá být případně hledat telnet přesměrovač (dle Wingate). S balíčkem Wingate, zřejmě jen některé dražší verze balíku umožňují autentizaci uživatelů.
To by také mohlo mít zájem o další služby za serverem proxy, přes ponožky. Zpráva jeden bezpečnostní systémy, pokud jde o běh NEC SOCKS5 beta-0.17.2. Při spuštění SOCKS5 na portu 1080 démon píše, že je PID /tmp/socks5.pid. Pokud tento soubor neexistuje, by se dalo nalinkujte např / etc / passwd k ní a nechat ji přepsat při spuštění socks5 nahoru.
(Převzato z www.safenetwork.com/Linux/socks.html~~pobj )
To jsou věci, které jsem dosud nalezeny. Lze předpokládat, pokud by měl někdo jejich firewall špatně nakonfigurovány povolit všechny příchozí provoz na portu 1080 přes ně, kdyby existoval stroj v chodu Wingate uvnitř brány firewall systému by mohly být použity k přesměrování telnet uvnitř firewallu.
Manh Phung
24.října 2000
Kde jsme dnes v detekce narušení?
V todayâs světě, kde téměř každá firma je závislá na internetu, aby přežili, není překvapivé, že úloha detekce narušení sítě rozrostla tak rychle. I když mohou být ještě některé argumentem, co je nejlepší způsob, jak chránit firmy sítích (tj firewally, náplasti, EZS, školení, â|), je jisté, že Intrusion Detection System (IDS) bude pravděpodobně udržovat důležitou roli při zajišťování bezpečného síťové architektury.
Jak již bylo řečeno, co současná technologie detekce narušení nám poskytují? Pro analytika, který sedí v přední části IDS, ideální systém by identifikovat všechny vniknutí (nebo pokusy o vniknutí), a přijmout nebo doporučí nezbytná opatření s cílem zastavit útok.
Bohužel, tržiště pro IDS je ještě docela mladý a "stříbrná kulka" řešení pro detekci veškeré útoky se nezdá být na obzoru, nebo dokonce nutně věrohodný. Takže to, co je "dalším krokem", třebaže "další fázi" pro detekci narušení? Silný případ mohl být učiněna opatření pro použití dolování dat technik s cílem zlepšit současný stav detekce narušení.
Co je dolování dat?
Podle RL Grossman v "Data Mining: výzvy a příležitosti pro dolování dat v příštím desetiletí", on definuje dolování dat jako "zabývá k odhalování vzory, sdružení, změnami, anomáliemi a statisticky významných staveb a událostí v datech." Jednoduše řečeno je to schopnost přijmout dat a vytáhnout z ní vzorů nebo odchylek, které nemohou být snadno viditelná pouhým okem. Další termín někdy použitý je získávání znalostí.
Zatímco oni nebudou podrobně popsány v této zprávě, existuje mnoho různých typů data mining algoritmů zahrnují analýzu propojení, shlukování, Sdružení, pravidlo únos, analýzu odchylek a sekvenční analýzu.
Jak se proud IDS detekovat vniknutí?
K tomu, aby nám zjistit, jak data mining může pomoci předem EZS, že je důležité pochopit, jak proud IDS usilovat o určení vniknutí. Existují dva odlišné přístupy k detekci narušení: zneužití detekce a detekce anomálií. Detekce zneužití je schopnost identifikovat průniky založené na známém vzoru pro nebezpečné činnosti. Tyto známé modely jsou označovány jako podpisy. Druhý přístup, detekce anomálií, je pokus identifikovat nebezpečný provoz na základě odchylek od zavedených normálních síťového provozu vzory. Nejvíce, jestliže ne všichni, IDS, které lze zakoupit dnes jsou založeny na detekci zneužití. Současné IDS produkty se dodávají s velkým souborem podpisů, které byly identifikovány jako jedinečné na konkrétní zranitelnost nebo využití. Většina dodavatelů IDS také poskytovat pravidelné aktualizace signatur ve snaze udržet krok s rychlým vznikem nových zranitelností a využije.
Nedostatky se současnými IDS.
Zatímco schopnost rozvíjet a používat signatury pro detekci útoků je užitečný a schůdný přístup existují nedostatky pouze pomocí tohoto přístupu, který je třeba řešit.
Jak lze data mining pomoci?
Data mining může přispět ke zlepšení detekce narušení přidáním úroveň zaměřením na detekci anomálií. Tím, že pozná hranice pro platné síťové aktivity budou data mining pomoci analytik v jeho / její schopnosti rozlišovat útočnou aktivitu od běžného každodenního provozu na síti.
Obtíže, pokud jde o dolování dat v detekce narušení.
Pojem data mining byl kolem po celá léta. Navzdory tomuto dolování dat v detekci narušení je relativně nový koncept. Tak tam bude pravděpodobně překážky ve vývoji účinné řešení. Jedním z nich je fakt, že i když pojem dolování dat již nějakou dobu množství dat, které mají být analyzovány a jeho komplexnost, velmi rychle roste. Jak je uvedeno výše, je možné, aby společnost pro sběr miliony záznamů za den, které musí být analyzovány na škodlivé aktivity. S tímto množstvím dat pro analýzu je možné odhadnout, že data mining se stane poměrně výpočetně náročné. Bohužel, pro některé výpočetního výkonu nebo paměti není vždy levné a dostupné. Samozřejmě mohou existovat argument, že stačí vzorky dat s cílem generovat profily, ale bude také argument, že analyzuje cokoliv, zejména provoz v síti, aniž by všechna data by mohla vést k nesprávným závěrům. Další překážkou bude krejčovství dolování dat algoritmy a procesy tak, aby se vešly detekce narušení. Snaha zjistit, jak je třeba údaje je třeba přistupovat tak, aby nám poskytnout lepší obraz je jistě nedílnou v poskytování přesné a efektivní výsledky.
Závěr.
Je zřejmé, dolování dat a detekce anomálií není stříbrná kulka pro detekci narušení, ani by nemělo být náhradou pro detekci zneužití. Cílem by mělo být, aby efektivně integrovat detekce anomálií a jejich odhalování zneužití k vytvoření IDS, která umožní analytik přesněji a rychleji identifikovat útoku nebo vniknutí na jejich síti.
Bibliografie
Bass, Time. "IDS dolování dat." 4 března 1999. URL: http://www.silkroad.com/papers/html/ids/node4.html (10.10.00).
Gordeev, Mikhail. "Intrusion Detection: Techniky a přístupy." URL: http://www.infosys.tuwien.ac.at/Teaching/Courses/AK2/vor99/t13 (10.10.00).
Grossman, RL "Data Mining: výzvy a příležitosti pro dolování dat v příštím desetiletí." Květen 1997. URL: http://www.lac.uic.edu/grossman-v3.htm (10.10.00).
Lee, Wenke a Stolfo, Salvatore. "Data Mining Přístupy k detekci narušení." URL: http://www.cs.columbia.edu/~wenke/papers/usenix/usenix.html (12.10.00).
Rothleder, Neal. "Data Mining pro detekci narušení." Newsletter hran. Srpna 2000. URL: http://www.mitre.org/pubs/edge/august_00/rothleder.htm (09.10.00)
Jamil Farshchi
Úvod
Network Systems detekce průniků (IDS) monitorovat síťový provoz počítače a pokusit se o identifikaci, záznam a všechny přítomné anomální aktivity pro uživatele. Základním předpokladem je, že pokud je přenos není povolena na síti, IDS bude mít schopnost rozpoznání a nahlášení nelegitimní provoz. Klíčem k jakékoliv Intrusion Detection System je maximalizovat přesné záznamy (true-pozitivní), zatímco současně minimalizuje výskyt non-oprávněné výstrahy (falešně pozitivní). To je teoreticky mnohem jednodušší, než v praxi, o čemž svědčí o různých metod detekce narušení. Tyto metody zahrnují, ale nejsou omezeny na umělé imunitní systém [7], Control-Loop měření [8], data mining [9], Statistická [24], a podpis-Based (Rule-Based [25]). Nejpopulárnější z těchto metod je Signature-based Intrusion Detection. I když existuje mnoho přístupů k detekci narušení, tento dokument se konkrétně zaměřuje na statistické systémy založené na Intrusion Detection, Spade a nasazení Spade v souběhu s aktuální IDS.
Podpis systémy založené
Některé z více populárních IDSâs na základě signatur jsou NFR [11], RealSecure [12], drak [13], Snort [14], a Cisco Secure IDS [15]. Bylo prokázáno, že Signature-based Intrusion Detection má mnoho výhod, jako je potenciál pro nízké ceny alarm, přesnosti detekce a podrobné protokoly textových [4]. S podrobným podpisy, je relativně jednoduché pro specifické identifikaci paketů zájmu. Například by mělo být triviální napsat pravidlo, aby upozornil na všechny TCP pakety s nastaveným příznakem SYN. Ne všechny IDSâs umožnila nezávislé rozvoj pravidlo, ale někteří, jako Snort a drak, přijme uživatelem vytvořených pravidel. Téměř všichni výrobci IDS stanovit pravidla pro jejich produkty s variabilním počtem podpisů, obvykle v rozmezí 500-1500 + pravidel. Pravidla jsou vyvinuty v průběhu času jako bezpečnostní komunita identifikuje nová slabá místa a skenovacích technik. Rozsáhlost a rychlost, s jakou jsou tato pravidla, které vyvinul je dobrým měřítkem, jak efektivní IDS bude nakonec. Zatímco přístup Signature-Based k detekci narušení je přijatelná, ponechává hodně být požadovaný. S výrobci přicházejí s novými podpisy na týdenní nebo denní bázi, je těžké pro již tak přetížené bezpečnostního odborníka, aby udržel krok s nejnovějšími sad pravidel. Mnohem závažnější nedostatkem IDS přístupu na základě signatur je neschopnost detekovat nových a dříve neznámých útoků. Podpis-Based IDS je pouze tak silný jako jeho sady pravidel, a v případě, že napadení je nový, že se jednoduše nebudou žádné podpisy vyvinuté pro identifikaci sondy. Signature-based Intrusion Detection má také omezenou schopnost detekovat skenování portů. Ve skutečnosti většina IDSâs použít primitivní přístup, přičemž v případě zjištění X události zájmu v rámci časového okna Y o velikosti [16], systém bude generovat upozornění. Omezením počtu paketů zaměřených na síti během určitého časového rámce, útočník může snadno uniknout detekci IDS. Tyto nedostatky jsou vlastní podpis-Based modelu, který je důvod, proč jsou potřeba různé metody detekce řešit nedostatky přístupu na základě signatur.
Úvod do statistické metody
statistické systémy založené na Intrusion Detection (SBIDS) může zmírnit mnoho z výše uvedených nástrahy IDS na základě signatur. Statistické-Based systémy spoléhají na statistických modelů jako je Bayesâ věty [26], s cílem určit anomální paketů v síti. K identifikaci anomálii, systém využívá údaje sestavené z předchozího chování sítě. Vzhledem k tomu, Varování jsou založeny na skutečných způsoby využívání, mohou statistické systémy přizpůsobit chování a proto vytvořit své vlastní pravidlo o používání-vzory. Že užívání-vzory jsou to, co diktovat, jak anomální paket může být do sítě. Anomální aktivita se měří množství proměnných vzorku v čase a uložených v profilu. Na anomálie skóre paketu základě bude proces podávání zpráv považovat za upozornění, pokud je dostatečně neobvyklé; V opačném případě IDS bude jednoduše ignorovat stopu. Proces podávání zpráv upozorní uživatele v případě, že packetâs anomálie skóre je větší než nebo rovna prahové úrovni nastavené uživatelem. Takže SBIDS identifikuje a sleduje vzory a využití dat v síti a potom přiřadí anomálii skóre na každého paketu. Jakmile je to provedeno, bude zařízení zpráv generovat upozornění v případě, že anomálie skóre je vyšší než varovné prahové hodnoty. Jako příklad lze uvést, letâs říci, že každé ráno se probudíte a přečetl ranní noviny, který čeká za dveřmi. Po několika dnech nebo týdnech tohoto chování se stává normální; Očekáváte papír, aby se dospělo ke dveřím v dopoledních hodinách. Jednou ráno, papír není čekání na prahu. Namísto toho je papír ležel na příjezdové cestě. To není normální; je zjevně anomální činnost, ale pravděpodobně ne dost ospravedlnit vyšetřování. Nyní, letâs, že jste i nadále vidět přibližně stejný vzorek několika papírů přistání na příjezdové cestě každý týden. Pak se jednoho dne probudíte k žádnému papíru vůbec, nebo ještě hůře, papír je hozen oknem. Ani jedna z těchto událostí je normální, a oba by zaručuje určitý stupeň vyšetřování. Je-li počet anomálie spojené s těmito událostmi, můžeme začít vidět, jak SBIDS funguje. Činnost přijímání papíru u dveří v dopoledních hodinách budou považovány za ânormalâ aktivitu. Systém pozná vzor a dozvědět se, že to je normální chování. Ostatní činnosti by být posuzovány na základě počtu výskytů a jak âuniqueâ byly ve vztahu k normální činnosti. Význam je prahová úroveň je znázorněno v tomto příkladu i. Pokud je prahová hodnota nastavena na nízkou číslo, SBID by generoval upozornění na jakékoliv nesrovnalosti ve vztahu k normě, takže by došlo k upozornění produkoval když papír přistál na příjezdové cestě. Je-li nastavena příliš vysoko, výstraha by být vytvořen pouze tehdy, když papír prorazil okno (a možná ani potom ne). Optimálně, bude vypracována zpráva generován na všech významných anomální aktivity. Co představuje âsignificantâ může a bude se lišit od uživatele k uživateli. Proto je v konečném důsledku na uživateli, aby rozhodl, kolik výstrahy jsou generovány pro specifické prostředí. Konkrétní prostředí je základním požadavkem pro řádné fungování SBIDS. SBIDS bude âlearnâ to, co je ânormalâ pro síť. Každá Statistická-Based IDS v každém jednotlivém prostředí, upozorní na nesrovnalosti na základě svých specifických znalostí sítě na ruce. Výhodou tohoto přístupu je, že systém nemusí být předem definované podpisů pro identifikaci anomálii v síti; Místo toho, IDS je zatím vlajky cokoli považuje za neobvyklé. Například H4x0r má zcela nový zneužít chce používat v síti. Ona zahajuje útok s vědomím, že neexistuje žádný podpis za to využít, protože zranitelnost byl nedávno nalezen. Pokud jeden ze systémů je využitelný útokem, bude ohrožena a žádná výstraha bude vygenerována, protože na základě signatur IDS nebude rozpoznat tento nový útok (Podpis). Jestliže, na druhé straně, je statistický-Based IDS kromě současných IDS signatur, výsledky útoku by se velmi liší. SBIDS uvidí pakety a může uvědomit, že vlastnosti byly v rozporu s dopravou, které obvykle klene přes síť. V návaznosti na toto zjištění, statistický systém založený by vypočítat vysoce pro paketech v útočníků paketového toku (jako v novinách prorážet oknem), což by vedlo k upozornění na generaci. I když oznámení o útoku na systémech je vysoce žádoucí vlastnost pro IDS, tak příliš je detekce nepřítele se snaží výčet síti prostřednictvím portscanning.
SBIDS může poskytnout přesnější oznámení o portscanning aktivity. Scannování detekce je vedlejším produktem z metod, které SBIDS shromažďují údaje, vzhledem k tomu, že kontrola bude anomální. Alespoň některé z scannování je pravděpodobné, že bude velmi anomální dopravní vzhledem k obvyklé rozdělení provozu. Pokud tento paket má neobvyklé vlastnosti (tj je vytvořený paket), bude to ještě platí [1]. S ohledem na tuto skutečnost, bude i portscans, které jsou distribuovány v průběhu dlouhého časového rámce se zaznamenávají protože budou neodmyslitelně anomální. SBIDS nám dávají schopnost detekovat portscanning pakety s mnohem větší přesností než paketů AX v Y-time velikosti frameâ metodou, která RBIDS musí spolehnout. Problém se statistickým-Based systému není detekci scannování paketů; budou identifikovány jako každý jiný anomální aktivity v síti bude. Problémy spočívají v šíření a korelaci dat, jakmile se shromažďují. Korelace je nad rámec tohoto dokumentu, ale Silicon Obrana se v současné době vyvíjí srovnávací engine s názvem Spice. Podívejte se na webové stránky Silicon obrany pro více informací.
I když existuje mnoho výhod pro statistické přístup založený na, tam jsou také některé nedostatky této technologie. Chcete-li začít, statistický systém musí âlearnâ, co je ânormalâ provozu v určité síti (SBIDS potřebovat dobrý výchozí stav síťového provozu). Na rozdíl od systému na základě signatur, která má výhodu, že se uskuteční okamžitě využita, je Statistická-Based systémy musí nejprve přizpůsobit k síti na dosah ruky. Čím déle SBIDS je umístěn na konkrétní síti, budou přesnější výsledky být (za předpokladu, že síťový provoz doesnât významně nemění formě). Druhý problém s statistický přístup založený souvisí s adaptivní povaze těchto systémů. SBIDS detekci anomálií na základě rozdílů v ânormalâ síťového provozu. V případě, že ânormalâ síťový provoz je škodlivý, budou SBIDS být k ničemu. Například, v případě, že SBIDS vidí početnou řadu SYN skenů v síti po určitou dobu, systém se nakonec předpokládat, že to je normální chování a přestává být upozornit na aktivitu. V tomto příkladu, zatímco drastické, je možný scénář. A konečně, upozornění, že SBIDS bude generovat bude poměrně obtížné posoudit, v porovnání se systémem na základě signatur. Záznamy bude prostě paket informace bez okamžitě zjevného důvod záznamu. Tato analýza bude potřebovat služby školeného bezpečnostního profesionála s schopnost identifikovat abnormality v provozu na úrovni paketů. Přestože statistické systémy založené na nějaké nedostatky, pozitivní dopady této technologie dalece převyšují rostoucí bolesti, které budou mít zkušenosti při provádění.
Výhody statistického přístupu založeného jsou trojí. Nejen, že nyní máme oznámení o dosud neznámých útoků, máme také systém, který doesnât potřebovat neustálé aktualizace signatur, a máme metodu detekce skenování portů, které pokrývají rozsáhlé časové rámce stejně.
Motor statistický Packet Anomaly Detection: Spade
Spade je detektor anomálií veřejně šířen pod licencí GNU GPL [20]. Lze jej stáhnout z http://ww.silicondefense.com/software/spice/. Spade je Snort [14] preprocessor plug-in. Spade používá společné měření pravděpodobnosti rozhodnout, které pakety jsou neobvyklé. Spade používá Snortâs vstupních / výstupních zařízení k uchopení pakety a dát je do tabulek, které se používají ke zjištění anomálií skóre [1]. Anomálie skóre je přiřazen na základě vyhodnocení zdrojovou IP, zdrojový port, cílová IP a cílový port, mezi ostatními. Na uživatelském nastavenou prahovou úroveň, Spade bude buď vlajky paket založený nebo umožnit mu, aby prošel přes síť bez předchozího upozornění. Nastavení práh je rozhodující Spade, protože pokud je nastavena příliš vysoko, uživatel bude chybět kritické pakety; pokud je příliš nízká, analytik vidět mnoho falešně pozitivní. Rýč má také možnost, že bude provádět automatické nastavení prahové nechat rýč rozhodnout, co je kritický práh číslo by mělo být. Spade může také generovat další zprávy o významu, jako je například průzkum o rozložení anomálií skóre a různé zprávy o statistických funkcí, jako entropie a podmíněné pravděpodobnosti. Pro další specifika o tom, jak Spade počítá anomálií skóre, práh čísla a pravděpodobnosti, naleznete v dokumentaci současné době na webových stránkách Silicon obrany [17].
Nejkritičtější výstup pro bezpečnostní analytik bude Spade upozorní, které vypadají velmi podobně jako výstrahy Snort. Níže uvedený seznam se skládá ze čtyř Spade generované výstrahy.
Prostudujte si dokumentaci k Snort [23] specifika o tom, jak číst tyto výstrahy.
Kevin Liston
Úvod
Ideální Network Intrusion Detection System bude účinně a efektivně klasifikovat síťový provoz mezi benigní a agresivní. Velká část výzkumu a práce v Network Intrusion Detection zahrnuje vývoj signatur útoků. Chráněná síťový provoz je přivádí do odpovídající motorem a výstrahy jsou generovány při síťový provoz odpovídá dané signaturu útoku. Vniknutí analytik používá tyto výstrahy určit, jak alokovat zdroje analýzy. âTraffic analýza je odvětví analýzy signálů inteligence, která se zabývá studiem vnějších charakteristik signálu komunikací. Informace byla použita: (1) k provedení odposlechu, (2) na podpory dešifrování, (3) hodnotit úroveň a hodnotu inteligence v nepřítomnosti obsahu zvláštních zpráv, a (4) s cílem zlepšit bezpečnost v komunikaci nets.â (Nichols, P71). Účinek Detection System Network Intrusion může být účinnější, pokud to zahrnuje nejen podpis ve stejném designu, ale také analýzu provozu. Použitím analýzu provozu, anomální provoz je identifikován jako potenciální vniknutí, žádné podpisy jsou zapojeny do procesu, takže je větší pravděpodobnost, že detekovat nové útoky, pro které ještě nebyly vyvinuty podpisy. Zabývá Traffic Analysis ne s užitečným zatížením zprávy, ale jeho další vlastnosti, jako je zdroj, cíl, směrování, délce zprávy, tentokrát to byl poslán, četnost komunikace apod provoz užitečné zatížení není vždy k dispozici pro analýzu, provoz může být kódován, VPN odkazy mohou být proudí přes monitorovací oblasti, nebo to může být jednoduše v rozporu se zásadami pro analýzu užitečného obsahu paketu. Pro účely Network Intrusion Detection shromažďujeme tyto vlastnosti buď ze skutečného provozu na síti samotné (pomocí metody, jako je tcpdump,) nebo log-souborů ze sítě senzorů, jako jsou firewally nebo routery (Lee a Stolfo.) Tyto údaje jsou zpracovávány pro vizualizaci nebo dolování dat technik ke generování výstrah a poskytnout užitečné informace analytika pomáhat jim při rozhodování o tom, jak alokovat zdroje analýzy.
Cílem Network Intrusion Detection
Záměrem systému Network Intrusion Detection je vést analytik směrem síťových akcích, které jsou škodlivé. Dva hlavní přístupy jsou pro detekci zneužití a detekce anomálií. Vzor-odpovídající řešení primárně používat detekci zneužití. Zaměstnávají knihovnu podpisy zneužití, které se používají, aby odpovídaly proti provozu v síti. Nedostatky těchto systémů jsou: varianty, falešně pozitivní, falešně negativní, a přetížení dat. Vzhledem k tomu, že se spoléhají na podpisy, nová varianta útoku může být vytvořen se vyhnout detekci. Navíc, podpisy samy o sobě mohou vytvářet falešně pozitivní v případě, že nejsou zapsány správně, nebo v případě, že povaha útoku je obtížné oddělit od běžných provozních charakteristik. Systém podpis na bázi nelze detekovat útoky, pro které je nemá signatureâthey Donat dobře reagovat na neznáma. Přetížení dat může dojít, pokud senzor, nebo analytik je předkládán s příliš mnoho informací pro analýzu účinně (Phung.) Traffic Analysis provedené na síťové komunikace může zmírnit omezení systémů podpis na bázi protože jsou anomálie detektory. Je důležité si uvědomit, že nemohou nahradit podpis základen systémů; V ideálním případě by měl analytik oba nástroje, které má k dispozici. Systém založený na analýze provozu mohou detekovat útok variant, protože není hledá vzor útoku, ale spouštění na neobvyklé povaze spojení (buď z podivného IP nebo cizím přístavu nebo z lichého délku paketu nebo vlajky nastavení.) Falešně pozitivní jsou také slabost detekce anomálií, ale jestliže jsou záznamy z obou metod může být korelována první, bude relevance výstrahy zlepšovat. Síla detekce anomálií je jeho nízká míra falešně negativních výsledků. Nové útoky, pro něž podpisy nebyly vyvinuty za účelem podpisu systému založeného na spuštění na, bude anomální od přírody. Anomálie-based detekční systém nemusí zachytit nejnovější UNICODE IIS zneužít, ale změna chování z ohrožení systému získáte jeho pozornost. Snížení přetížení dat se provádí pomocí dolování dat a zobrazovacích metod. Oddělovat data a prezentovat ji vizuálně analytika dokáže detekovat anomálie a vzory, které jsou heuristika analýzy dopravní systém nemohl.
Multi-rozměrný model
Daný paket lze rozdělit do několika oblastí, jako je protokol, zdrojová IP, cílové IP, porty používané a nastavení vlajky (v případě TCP nebo UDP) nebo typu zprávy (v případě ICMP,) a délku. Pole je buď numerické, nebo mohou být převedeny na číselný rozsah přes mapovací funkce (např čísla mapování IP adres na celé identifikační čísla). V případě, že informace zachycen paket má n polí, pak paket může být vyjádřen jako vektor n elementy (tj n-tice) v vektorový prostor n-rozměrné. To dává jedinečnou prostorovou nízké zastoupení každé události a vytváří kontext pro síťové aktivitě (Girardin, s. 4.) V tomto n-rozměr vektorový prostor událostí může být vztažena srovnání, a vizualizovat. Aby bylo možné uspokojit potřebu jasně komunikovat analytika, je možné zaměstnávat vizualizaci a dolování dat k výrobě užitečných grafy a upozornění.
Lomu
Intrusion Detection System Síť poskytuje analytik nejen informace o tom, co se stalo, ale potenciálně to, co se má stát. Pokud analytik je schopno detekovat attackerâs průzkum chráněné sítě a výstraha přichází v době, útok může potenciálně být zmařeny. Útočník bude sondovat vaši obranu, a to zanechá stopy, které mohou být zjištěny. V tomto bodě analytik je podobně jako stopař, pokoušet se odvodit smysl a účel znamení doleva (Carss, P 22) Snímá byly stopy, které mohou být definovány jako souboru kombinací portů a IP skenování je cílení (Stainford, Hoagland a McAlerney str 2-4). charakterizují horizontální skenování jako ten, který vyhledává skupinu čísel IP pro jeden port, a svislou skenování jako jediné IP jsou testovány na více portů. Další stopa geometrie může být popsána, jako je box scanningâa kombinace vertikální a horizontální. Při vykreslování cílový port oproti IP adres cílových tyto vzory se stal prominentní. Velikost stopy lze vypočítat ze součtu kombinací IP / portu použité v testu. Tato velikost může sloužit jako metriku o tom, jak těžké to bude detekovat skenování. Jasně NMAP skenování na serveru bude snazší rozpoznat, než skenování na portu 53 na 4 stroje v síti.
Reakce na podněty scanâs také tvoří detekovatelné stopy. SYN-ACK, odpovědi od otevřené porty TCP, ICMP portů nedostupných zprávy z UDP inverzní skenů, kapky nebo odmítne zaznamenané firewallem, může být použita k detekci skenování a vyhodnocovat, kolik informací se útočník získal z kontroly. Jedná se o všechny odpovědi na skenu, stejně jako narušený oblázky nebo zlomené listoví říci plynutí svého lomu.
Útočník bude často používají nějaký druh podvodu zamaskovat svůj průzkumný sken. Některé způsoby podvodu lze úspěšně vyhnout Simple Port-skenování detektory. Útočník může změnit skenovací software randomize hostitelé naskenování nebo pomalé skenování dolů k pokrytí větší časové okno, nebo náhodně období mezi sondami. Mohou rozostření podpis jediného paketu skenování pomocí randomizing než podstatné pole, jako zdrojový port skenování, sekvenční nebo ack číslo nebo IP id. Tyto techniky mohou vyhnout jednoduchý software port-skenování detekce na základě signatur, sekvenční detekce skenování, nebo překročení rentgenové událostí nad prahem y-druhé. Kromě toho je skutečný zdroj skenování může být skrytá tím, že skryje s-u kovaných vyšetření, nebo využívající distribuované skenování. Sken schovává uvnitř kouřová clona jiných skenů dělá trochu zamaskovat, že skenování se děje onâin skutečnosti to kreslí hodně pozornosti skenování-události, ale to může chránit identitu zdroje. Distribuované skenování, na druhou stranu, může být obtížné zjistit, zda systém je prostě při pohledu na akcích korelující zdrojovou IP adresu, cílovou IP a cílový port (Stainford, Hoagland, a McAlerney, str. 4-5).
Jeden speciální metoda použita podle některých skenerů, aby se zabránilo odhalení je stealth-scan. To je trochu nesprávné pojmenování, protože z hlediska většiny systémů detekce narušení tyto skeny, ve slovech SNORTâs autor Marty Roesch, Aare spíš bolí palec scans.â Tyto skeny pracují pomocí nelegálních vlajky nastavení nevyhne několik jednoduchých filtrů paketů. Možná, že penetrace-scan je lepší označení pro techniku.
Anomaly Detection Nástroje
analýza Komunikace probíhá přes vizualizaci a dolování dat techniky. Připomeňme si, že síťové události mohou být reprezentovány jako vektory vede k vektorový prostor n-rozměrné. Rozměr tohoto vektorového prostoru může být snížena v inteligentních způsobů ve snaze vyzdvihnout detekovatelné vzory. Jednoduchá metoda redukce dimenze by snížilo vektorový prostor až na cílové IP, a cílový port, a tato snížená prostor by být zobrazeny jako bodový pozemku. Z tohoto grafu může analytik vizuálně rozpoznat horizontální a vertikální skenování stopy. Další jednoduchý způsob redukce dimenze by omezilo prostor až na zdrojová a cílová IP událostí. Tento děj by ilustrovat, které počítače komunikují mezi sebou navzájem. Vzhledem k tomu, datový prostor je snížena, informace je ztracena, a proto je důležité, že jsou použity celá řada způsobů snižování a vizualizace, s cílem poskytnout úplnější přehled analytika. Analytik mohl používat sofistikovanější mapování technik, jako neurální sítě-vypočítány samostatně organizovat map (Girardin,) nebo fragmentů (svislé, Frincke a McConnell,) ve snaze získat vyšší rozlišením obrazu o stavu síť. Tyto vizualizační techniky mohou pracovat ze zachyceného síťového provozu, nebo protokolů síťové vybavení. Navíc k vizualizaci, výsledky dolování dat může být ve srovnání s heuristiky pro detekci vzory nebo anomálie. Mark Prager popisuje techniku snížení logy firewallu pro detekci skenování a DoS skeny (Pragger.) Další nástroje pro generování výstrah z log souborů jsou k dispozici od http://www.spitzner.net/.
SPICE / SPADE
projekt Silicon Defenseâs SPICE (Intrusion Correlation Engine Stealthy scannování a) je DARPA-podporovaný rozvojové úsilí, jehož cílem je vybudovat lepší past na myši schopné detekovat kradmé skenování portů. SPICE se skládá ze dvou složek, senzor anomálií a srovnávací motorem. SPADE je detektor anomálií, který funguje jako plug-in preprocesoru, aby Snort. Korelace motor je stále ve vývoji.
v Každý paket přichází do detektoru anomálií je přiřazena anomálií skóre (x). Toto skóre se počítá ze záporné log pravděpodobnosti události, P (x). Tj A (x) = - log (P (x)) (Staniford, Hoagland, a McAllerney, P 4) bystré oko by si všiml, že jejich anomálie skóre je blízko, ne-li ekvivalentní výpočet signalâs Entropy ( Shannon, p 13.)
v výpočet P (x) je založena na pozorované provozu v síti, protože provoz v síti, jako signál, je non-ergodic, a tudíž nepodléhá univerzální výpočet rozdělení pravděpodobnosti pro všechny možné signály (Pierce . p57-59) SPADE používá čtyři metody výpočtu p (x): P (cílová IP, cílový port), P (zdrojová IP, cílová IP, cílový port), P (zdrojová IP, zdrojový port, cílová IP, cílový port ), a síť přibližování Bayes P (zdrojová IP, zdrojový port, cílová IP, cílový port). z pozorování, paket na port 80 na web-server bude mnohem pravděpodobnější než řekněme, port 37337 na stejném serveru. Čím vyšší je P (x) je, bude nižší A (x). Pokud A (x) překročí stanovenou hranici, bude SPADE generovat upozornění.
Ve svém zveřejněném dokumentu o rýč, které měří výkon systému použitím účinnost (poměr pravdivě pozitivních výsledků na všechny klady) a efektivitu (poměr pravdivých pozitiv pro všechny trues). Z jejich výsledků se zdá, že nejefektivnější a nejúčinnější metoda byla P (cílová IP, cílový port), nebo joint-2 metoda, která je nyní výchozí pravděpodobnost, nastavení rýč. Bylo zjištěno, že filtrování výpočtu zahrnout pouze chráněné sítě dále zlepšovat účinnost a efektivnost (Staniford, Hoagland, a McAllerney, P 13) Limit anomálii by mohla být snížena při filtrování byl použit, protože pravděpodobnost byly porovnány s lokální IP / portu páry, což je menší prostor, aby zvážila, než zbytek Internetu.
Nastavení pro Spade je třeba ladění tak, aby odpovídala chráněné sítě. Jedním z laditelné faktorem je ve střehu-threshold. To lze nastavit ručně a naladěn podle analytika nebo SPADE samo o sobě může být nastaveno nastavit vlastní prahové úrovně. Ve výchozím režimu učení, SPADE bude monitorovat síťový provoz po dobu 24 hodin. Pak to bude počítat prahovou úroveň potřebnou k vytvoření 200 upozornění v tomto sledovaném období. Délka období sledování a počet záznamů, jak generovat jsou volitelné.
Jak to běží, SPADE bude generovat pravděpodobnostní tabulku pozorované provozu v síti. Tato tabulka obsahuje důležité informace a měla by být chráněna a zálohována. Pokud dojde ke ztrátě tohoto souboru SPADE bude muset přeškolit, vystavovat vaši síť, protože historie je přestavěna a výstrahy nejsou generovány. Při provozu v průzkumu režimu, bude SPADE generovat zprávy o pozorovaných rozdělení pravděpodobnosti provozu na síti. SPADE mohou být umístěny do statistického režimu, pokud si někdo přeje zobrazit pravděpodobnostních tabulek v pravidelných intervalech.
V současné době SPADE jednoduše generuje výstrahy o paketech, jejichž anomálie skóre (stanoveného obdobně jako podle rýč,) překračuje prahovou úroveň anomálie. Jsou zaznamenány tyto výstrahy spolu s ostatními odfrknutím výstrahy. Jedná se o korelační motor, který je stále ve vývoji, který slibuje detekovat stealthiest o skenování portů.
Korelace motor je napájen výstrahy z detektoru anomálií. Záznamy obsahují události a anomálie skóre. Korelace motor bude mít událost v paměti na základě jeho anomálií skóre. Čím vyšší skóre, tím více anomální událost, tím déle bude udržovat svůj stav. Korelace motoru a potom se pokusí spojit události do skupin, případně spojit vzácné události do jediné příčiny. Vazby mezi danou dvojicí událostí se vypočítá jako série heuristických funkcí. Existují čtyři základní heuristické funkce, a spojení mezi dvěma událostmi je hodnocena jako kombinace heuristické výsledků functionsâ. Pokud IP nebo cílový port nebo sítě jsou stejné v obou událostech, daný heuristické by oheň. Druhý heuristická bude hledat událostí blízko u sebe v době, nebo v n-rozměrném prostoru (Euclidean rozdíl.) Třetí by spojila dvě události, které byly posunuté o jednu IP číslo nebo jedno číslo portu zdroje, nebo jedno místo určení IP. Další heuristické by detekovat Kovariance vztahy (například zvýšením jedné v cílové IP a cílovým portem.) Funkce spojení by byla kombinace těchto heuristických výstupů. Korelace Motor vybuduje graf propojení souvisejících událostí, a upozornit analytik těchto korelací (Staniford, Hoagland a McAllerney, P 8.)
Další kroky
Jakmile koření samo o sobě je uvolněn, Silicon Obrana má v úmyslu použít nástroj pro detekci a sledování červy a DDoS útoky, kromě kradmé skenování portů (Staniford, Hoagland a McAllerney, P 15) v oblasti analýzy provozu a data mining je zde velký prostor pro práci v Intrusion Detection Fusion, kde protokoly a záznamy z různých Nids systémy, firewally a routery jsou syntetizovány do jednoho datového prostoru pro analýzu (Girardin, P 12.)
Závěr
Tam je ještě mnoho práce je třeba udělat v oblasti detekce anomálií na bázi. Detekce zneužití na základě porovnávání podpisu má svá omezení; Tato omezení mohou být zmírněny použitím detekce anomálií na bázi. Fúze obou zneužití pro detekci anomálií a-detekční techniky bude mít za následek efektivnější a účinnější systém Network Intrusion Detection.
Reference
Carss, Bob. SAS Příručka pro sledování. New York: Lyons Press, 2000.
Girardin, Luc. aan oko na síťových konfliktního účasti administrátora shootouts.â URL: http://www.usenix.org/event/detection99/full_papers/girardin/girardin_html/index.html~~HEAD=pobj (06.6.2001)
Lee, Wenke a Stolfo, Salvatore J. ADATA Mining přístupy k narušení Detection.â URL: http://www.cs.columbia.edu/~wenke/papers/usenix/usenix.html (9. července 2001)
Nichols, Randall K. ICSA Průvodce po kryptografie . New York: McGraw-Hill, 1999. 71 až 75.
Phung, Manh. ADATA Těžba v Intrusion Detection FAQ Detection.â Intrusion. 24. října 2000. URL: http://www.sans.org/resources/idfaq/data_mining.php (09.7.2001)
Pierce, John R. Úvod do teorie informace: Symboly, signály a hluk, druhé opravené vydání , New York: Dover publikace, Inc., 1980.
Prager, Mark. âFirewall Log-Kontrola Techniques.â Sys správce . 08. 2001: 33-37.
Shannon, Claude E. AA Matematická teorie Computationâ října 1948. URL: http://cm.bell-labs.com/cm/ms/what/shannonday/shannon1948.pdf (19.července 2001)
Staniford, Stuart, Hoagland, James A., a McAlerney, Joseph M. âPractical automatickou detekci Stealthy Portscans.â URL: http://www.silicondefense.com/pptntext/spice-ccs2000.pdf~~HEAD=pobj (19. července 2001)
Vert, Greg Frincke, Deborah A., a McConnell, Jesse C. AA Visual Matematický model pro Intrusion Detection.â URL: http://citeseer.nj.nec.com/vert98visual.html~~HEAD=pobj (19.července 2001) Ve svém zveřejněném dokumentu o rýč, které měří výkon systému použitím účinnost (poměr pravdivě pozitivních výsledků na všechny klady) a efektivitu (poměr pravdivých pozitiv pro všechny trues). Z jejich výsledků se zdá, že nejefektivnější a nejúčinnější metoda byla P (cílová IP, cílový port), nebo joint-2 metoda, která je nyní výchozí pravděpodobnost, nastavení rýč. Bylo zjištěno, že filtrování výpočtu zahrnout pouze chráněné sítě dále zlepšovat účinnost a efektivnost (Staniford, Hoagland, a McAllerney, P 13) Limit anomálii by mohla být snížena při filtrování byl použit, protože pravděpodobnost byly porovnány s lokální IP / portu páry, což je menší prostor, aby zvážila, než zbytek Internetu. Nastavení pro Spade je třeba ladění tak, aby odpovídala chráněné sítě. Jedním z laditelné faktorem je ve střehu-threshold. To lze nastavit ručně a naladěn podle analytika nebo SPADE samo o sobě může být nastaveno nastavit vlastní prahové úrovně. Ve výchozím režimu učení, SPADE bude monitorovat síťový provoz po dobu 24 hodin. Pak to bude počítat prahovou úroveň potřebnou k vytvoření 200 upozornění v tomto sledovaném období. Délka období sledování a počet záznamů, jak generovat jsou volitelné. Jak to běží, SPADE bude generovat pravděpodobnostní tabulku pozorované provozu v síti. Tato tabulka obsahuje důležité informace a měla by být chráněna a zálohována. Pokud dojde ke ztrátě tohoto souboru SPADE bude muset přeškolit, vystavovat vaši síť, protože historie je přestavěna a výstrahy nejsou generovány. Při provozu v průzkumu režimu, bude SPADE generovat zprávy o pozorovaných rozdělení pravděpodobnosti provozu na síti. SPADE mohou být umístěny do statistického režimu, pokud si někdo přeje zobrazit pravděpodobnostních tabulek v pravidelných intervalech. V současné době SPADE jednoduše generuje výstrahy o paketech, jejichž anomálie skóre (stanoveného obdobně jako podle rýč,) překračuje prahovou úroveň anomálie. Jsou zaznamenány tyto výstrahy spolu s ostatními odfrknutím výstrahy. Jedná se o korelační motor, který je stále ve vývoji, který slibuje detekovat stealthiest o skenování portů. Korelace motor je napájen výstrahy z detektoru anomálií. Záznamy obsahují události a anomálie skóre. Korelace motor bude mít událost v paměti na základě jeho anomálií skóre. Čím vyšší skóre, tím více anomální událost, tím déle bude udržovat svůj stav. Korelace motoru a potom se pokusí spojit události do skupin, případně spojit vzácné události do jediné příčiny. Vazby mezi danou dvojicí událostí se vypočítá jako série heuristických funkcí. Existují čtyři základní heuristické funkce, a spojení mezi dvěma událostmi je hodnocena jako kombinace heuristické výsledků functionsâ. Pokud IP nebo cílový port nebo sítě jsou stejné v obou událostech, daný heuristické by oheň. Druhý heuristická bude hledat událostí blízko u sebe v době, nebo v n-rozměrném prostoru (Euclidean rozdíl.) Třetí by spojila dvě události, které byly posunuté o jednu IP číslo nebo jedno číslo portu zdroje, nebo jedno místo určení IP. Další heuristické by detekovat Kovariance vztahy (například zvýšením jedné v cílové IP a cílovým portem.) Funkce spojení by byla kombinace těchto heuristických výstupů. Korelace Motor vybuduje graf propojení souvisejících událostí, a upozornit analytik těchto korelací (Staniford, Hoagland a McAllerney, P 8.) Další kroky Jakmile koření samo o sobě je uvolněn, Silicon Obrana má v úmyslu použít nástroj pro detekci a sledování červy a DDoS útoky, kromě kradmé skenování portů (Staniford, Hoagland a McAllerney, P 15) v oblasti analýzy provozu a data mining je zde velký prostor pro práci v Intrusion Detection Fusion, kde protokoly a záznamy z různých Nids systémy, firewally a routery jsou syntetizovány do jednoho datového prostoru pro analýzu (Girardin, P 12.) Závěr Tam je ještě mnoho práce je třeba udělat v oblasti detekce anomálií na bázi. Detekce zneužití na základě porovnávání podpisu má svá omezení; Tato omezení mohou být zmírněny použitím detekce anomálií na bázi. Fúze obou zneužití pro detekci anomálií a-detekční techniky bude mít za následek efektivnější a účinnější systém Network Intrusion Detection. Reference Carss, Bob. SAS Příručka pro sledování. New York: Lyons Press, 2000. Girardin, Luc. aan oko na síťových konfliktního účasti administrátora shootouts.â URL: http://www.usenix.org/event/detection99/full_papers/girardin/girardin_html/index.html~~HEAD=pobj (06.6.2001) Lee, Wenke a Stolfo, Salvatore J. ADATA Mining přístupy k narušení Detection.â URL: http://www.cs.columbia.edu/~wenke/papers/usenix/usenix.html (9. července 2001) Nichols, Randall K. ICSA Průvodce po kryptografie . New York: McGraw-Hill, 1999. 71 až 75. Phung, Manh. ADATA Těžba v Intrusion Detection FAQ Detection.â Intrusion. 24. října 2000. URL: http://www.sans.org/resources/idfaq/data_mining.php (09.7.2001) Pierce, John R. Úvod do teorie informace: Symboly, signály a hluk, druhé opravené vydání , New York: Dover publikace, Inc., 1980. Prager, Mark. âFirewall Log-Kontrola Techniques.â Sys správce . 08. 2001: 33-37. Shannon, Claude E. AA Matematická teorie Computationâ října 1948. URL: http://cm.bell-labs.com/cm/ms/what/shannonday/shannon1948.pdf (19.července 2001) Staniford, Stuart, Hoagland, James A., a McAlerney, Joseph M. âPractical automatickou detekci Stealthy Portscans.â URL: http://www.silicondefense.com/pptntext/spice-ccs2000.pdf~~HEAD=pobj (19. července 2001) Vert, Greg Frincke, Deborah A., a McConnell, Jesse C. AA Visual Matematický model pro Intrusion Detection.â URL: http://citeseer.nj.nec.com/vert98visual.html~~HEAD=pobj (19.července 2001) Ve svém zveřejněném dokumentu o rýč, které měří výkon systému použitím účinnost (poměr pravdivě pozitivních výsledků na všechny klady) a efektivitu (poměr pravdivých pozitiv pro všechny trues). Z jejich výsledků se zdá, že nejefektivnější a nejúčinnější metoda byla P (cílová IP, cílový port), nebo joint-2 metoda, která je nyní výchozí pravděpodobnost, nastavení rýč. Bylo zjištěno, že filtrování výpočtu zahrnout pouze chráněné sítě dále zlepšovat účinnost a efektivnost (Staniford, Hoagland, a McAllerney, P 13) Limit anomálii by mohla být snížena při filtrování byl použit, protože pravděpodobnost byly porovnány s lokální IP / portu páry, což je menší prostor, aby zvážila, než zbytek Internetu. Nastavení pro Spade je třeba ladění tak, aby odpovídala chráněné sítě. Jedním z laditelné faktorem je ve střehu-threshold. To lze nastavit ručně a naladěn podle analytika nebo SPADE samo o sobě může být nastaveno nastavit vlastní prahové úrovně. Ve výchozím režimu učení, SPADE bude monitorovat síťový provoz po dobu 24 hodin. Pak to bude počítat prahovou úroveň potřebnou k vytvoření 200 upozornění v tomto sledovaném období. Délka období sledování a počet záznamů, jak generovat jsou volitelné. Jak to běží, SPADE bude generovat pravděpodobnostní tabulku pozorované provozu v síti. Tato tabulka obsahuje důležité informace a měla by být chráněna a zálohována. Pokud dojde ke ztrátě tohoto souboru SPADE bude muset přeškolit, vystavovat vaši síť, protože historie je přestavěna a výstrahy nejsou generovány. Při provozu v průzkumu režimu, bude SPADE generovat zprávy o pozorovaných rozdělení pravděpodobnosti provozu na síti. SPADE mohou být umístěny do statistického režimu, pokud si někdo přeje zobrazit pravděpodobnostních tabulek v pravidelných intervalech. V současné době SPADE jednoduše generuje výstrahy o paketech, jejichž anomálie skóre (stanoveného obdobně jako podle rýč,) překračuje prahovou úroveň anomálie. Jsou zaznamenány tyto výstrahy spolu s ostatními odfrknutím výstrahy. Jedná se o korelační motor, který je stále ve vývoji, který slibuje detekovat stealthiest o skenování portů. Korelace motor je napájen výstrahy z detektoru anomálií. Záznamy obsahují události a anomálie skóre. Korelace motor bude mít událost v paměti na základě jeho anomálií skóre. Čím vyšší skóre, tím více anomální událost, tím déle bude udržovat svůj stav. Korelace motoru a potom se pokusí spojit události do skupin, případně spojit vzácné události do jediné příčiny. Vazby mezi danou dvojicí událostí se vypočítá jako série heuristických funkcí. Existují čtyři základní heuristické funkce, a spojení mezi dvěma událostmi je hodnocena jako kombinace heuristické výsledků functionsâ. Pokud IP nebo cílový port nebo sítě jsou stejné v obou událostech, daný heuristické by oheň. Druhý heuristická bude hledat událostí blízko u sebe v době, nebo v n-rozměrném prostoru (Euclidean rozdíl.) Třetí by spojila dvě události, které byly posunuté o jednu IP číslo nebo jedno číslo portu zdroje, nebo jedno místo určení IP. Další heuristické by detekovat Kovariance vztahy (například zvýšením jedné v cílové IP a cílovým portem.) Funkce spojení by byla kombinace těchto heuristických výstupů. Korelace Motor vybuduje graf propojení souvisejících událostí, a upozornit analytik těchto korelací (Staniford, Hoagland a McAllerney, P 8.) Další kroky Jakmile koření samo o sobě je uvolněn, Silicon Obrana má v úmyslu použít nástroj pro detekci a sledování červy a DDoS útoky, kromě kradmé skenování portů (Staniford, Hoagland a McAllerney, P 15) v oblasti analýzy provozu a data mining je zde velký prostor pro práci v Intrusion Detection Fusion, kde protokoly a záznamy z různých Nids systémy, firewally a routery jsou syntetizovány do jednoho datového prostoru pro analýzu (Girardin, P 12.) Závěr Tam je ještě mnoho práce je třeba udělat v oblasti detekce anomálií na bázi. Detekce zneužití na základě porovnávání podpisu má svá omezení; Tato omezení mohou být zmírněny použitím detekce anomálií na bázi. Fúze obou zneužití pro detekci anomálií a-detekční techniky bude mít za následek efektivnější a účinnější systém Network Intrusion Detection. Reference Carss, Bob. SAS Příručka pro sledování. New York: Lyons Press, 2000. Girardin, Luc. aan oko na síťových konfliktního účasti administrátora shootouts.â URL: http://www.usenix.org/event/detection99/full_papers/girardin/girardin_html/index.html~~HEAD=pobj (06.6.2001) Lee, Wenke a Stolfo, Salvatore J. ADATA Mining přístupy k narušení Detection.â URL: http://www.cs.columbia.edu/~wenke/papers/usenix/usenix.html (9. července 2001) Nichols, Randall K. ICSA Průvodce po kryptografie . New York: McGraw-Hill, 1999. 71 až 75. Phung, Manh. ADATA Těžba v Intrusion Detection FAQ Detection.â Intrusion. 24. října 2000. URL: http://www.sans.org/resources/idfaq/data_mining.php(09.7.2001) Pierce, John R. Úvod do teorie informace: Symboly, signály a hluk, druhé opravené vydání , New York: Dover publikace, Inc., 1980. Prager, Mark. âFirewall Log-Kontrola Techniques.â Sys správce . 08. 2001: 33-37. Shannon, Claude E. AA Matematická teorie Computationâ října 1948. URL: http://cm.bell-labs.com/cm/ms/what/shannonday/shannon1948.pdf (19.července 2001)Staniford, Stuart, Hoagland, James A., a McAlerney, Joseph M. âPractical automatickou detekci Stealthy Portscans.â URL: http://www.silicondefense.com/pptntext/spice-ccs2000.pdf~~HEAD=pobj (19. července 2001) Vert, Greg Frincke, Deborah A., a McConnell, Jesse C. AA Visual Matematický model pro Intrusion Detection.â URL: http://citeseer.nj.nec.com/vert98visual.html~~HEAD=pobj (19.července 2001)
Aman Abdulla
1. Abstrakt
skrytou kanál je jednoduchý, ale velmi účinný mechanismus pro posílání a přijímání informací dat mezi počítači bez upozorňování jakýchkoli firewall a IDSâs v síti. Technika odvodí jeho kradmé povahu vzhledem k tomu, že se posílá provoz přes porty, že většina firewally dovolí projít. Kromě toho tato technika může obejít IDS tím, že vypadá, že je neškodné paket nesoucí obyčejný informace, když ve skutečnosti to je utajit svá vlastní data v jedné z několika kontrolních polí v záhlaví TCP a IP.
Cílem tohoto příspěvku je prokázat účinnost této techniky v přítomnosti firewallu a IDS. Bude ukázáno, že i když tato technika vyhne detekci IDS bez státní příslušnosti pomocí různých náhodně pozměněných podpisů, aktivita může být stále detekován pečlivě zkoumá síťový provoz pro určité vzory v informaci o protokol, který bude charakterizují nástroj používán.
2. Úvod
Nástrojem pro toto využití bylo mírně upravenou verzi âcovert_tcpâ kódu vyvinuté a povolený Craig Rowland [1]. Tento nástroj poskytuje tři různé způsoby posílání tajných dat vložených v jedné z těchto oblastí:
Tento dokument se bude demonstrují použití prvního a třetího způsobu. Původní kód byl mírně upraven a sestaven individuálně na každém počítači. Dva stroje budou použity k tomu využít. Jedním z nich je pasivní server (přijímač) a druhý je klient (vysílač), která inicializuje přenos se serverem. Server by za normálních okolností být ohrožena stroj a mají kód na něm běží, ceká na spojení na jakémkoli zadaném portu. Je třeba poznamenat, že server nemusí vždy být ohrožena stroj; legitimní majitel stroje by mohly tento nástroj použít k přenosu neautorizovaný materiál dovnitř a ven ze sítě.
Klient bude stroj, který iniciuje spojení se serverem na zadaném portu a odesílá informace k ní. Port 80 byla použita pro tento pokus i když může být použit jakýkoliv portu. Většina firewallů umožní provoz přes tento port, protože většina sítí má webové servery běží na nich. Nejnovější verze [2] Snort se všemi současnými sady pravidel byl instalován a běžel během tohoto experimentu. Kromě tcpdump byl používán zachytit všechny pakety vjíždění a vyjíždění serveru.
3. Vkládání do oblasti IP Identifikace
dvě samostatné hostitelé na dvou oddělených sítí byly použity k analýze to využít. Jeden stroj sloužil jako server a druhý jako klient. 16-bitové Identifikace pole IP hlavičky slouží k identifikaci fragmentů, které tvoří kompletní paket. Tato metoda jednoduše kóduje Identifikační pole s ASCII reprezentace charakteru, které mají být zaslány. Paket, který nese tuto informaci, je požadavek na připojení (SYN). Konec Server přečte identifikační pole a převádí znak své formě pro tisk vydělením číselnou hodnotu v poli 256.
Při běžícím serveru klientský počítač připojený k ní na portu 80. řetězec znaků (âCovertâ) byl poslán z klient na server. Žádná z těchto sad pravidel na Snortu hlášeny žádné výstrahy kvůli tomuto provozu. Všechny příslušné pakety zachycené tcpdump jsou uvedeny níže.
První paket dva pakety níže ilustrují původní přenos z klienta na server a odpověď ze serveru. Je vidět, že identifikační pole v prvním paketu překládá do 43 h, což je znak ACA. Program serveru správně čte znak a uloží ji však TCP / IP stack reaguje na SYN paket s ACK od předchozího paketu a reset (RST). Protože se jedná o aplikaci TCP by se dalo očekávat, že klasické třícestné po úvodní SYN paketu. To však je charakteristika způsobu plnění kód a je předmětem diskuse v následujícím oddílu.
15: 46: 44,594323 eth0 <xxxx39946> 192.168.1.60.http: S 1966080: 1966080 (0) vyhrát 512 (ttl 55, id 17152)
4500 0028 4300 0000 3706 648f xxxx xxxx
c0a8 013c 9c0a 001e 0000 0000 0050 0000
5002 0200 3529 0000 0000 0000 0000
15: 46: 44,594323 eth0> 192.168.1.60.http> xxxx39946: R 0: 0 (0) ack 1966081 vyhrát 0 (DF) (ttl 255, id 0)
4500 0028 0000 4000 ff06 9f8e c0a8 013c
xxxx xxxx 0050 9c0a 001e 0001 0000 0000
5014 0000 3716 0000
příštích dvou paketů níže ilustrují sekvenci, která dopravuje další znak v řetězci od klienta na server a odpověď ze serveru. Je vidět, že identifikační pole v prvním paketu překládá 6F H, což je znak AOA.
Stejně jako před server odpoví tím, že uznává předchozí paket a obnovit ve stejnou dobu.
15: 46: 45,604323 eth0 <xxxx54296> 192.168.1.60.http: S 504102912: 504102912 (0) vyhrát 512 (ttl 55, id 28416)
4500 0028 0000 3706 6f00 388f xxxx xxxx
c0a8 013c d418 0050 1e0c 0000 0000 0000
5002 0200 df2c 0000 0000 0000 0000
15: 46: 45,604323 eth0> 192.168.1.60.http> xxxx54296: R 0: 0 (0) ack 504102913 výhra 0 (DF) (ttl 255, id 0)
4500 0028 0000 4000 ff06 9f8e c0a8 013c
xxxx xxxx 0050 d418 0000 0000 1e0c 0001
5014 0000 0000 E119
zbytek dopravy, které tvoří řetězec " Covert " je uveden níže:
15: 46: 46,614323 eth0 <xxxx14879> 192.168.1.60.http: s 117964800: 117964800 (0) vyhrát 512 (ttl 55, id 30208)
4500 0028 7600 0000 3706 318f xxxx xxxx
c0a8 013c 3a1f 0050 0708 0000 0000 0000
5002 0200 0000 0000 0000 902a 0000
15: 46: 46,614323 eth0> 192.168.1.60.http> xxxx14879: R 0: 0 (0) ack 117964801 výhra 0 (DF) (ttl 255, id 0)
4500 0028 0000 4000 ff06 9f8e c0a8 013c
xxxx xxxx 0050 3a1f 0000 0708 0001 0000
5014 0000 9217 0000
15: 46: 47,624323 eth0 <xxxx31780> 192.168.1.60. http: S 3741384704: 3741384704 (0) vyhrát 512 (TTL 55, id 25856)
4500 0028 6500 0000 3706 428f xxxx xxxx
c0a8 013c 7c24 0050 DF01 0000 0000 0000
5002 0200 762b 0000 0000 0000 0000
15: 46: 47,624323 eth0 <192,168. 1.60.http> xxxx31780: R 0: 0 (0) ack 3741384705 výhra 0 (DF) (ttl 255, id 0)
4500 0028 0000 4000 ff06 9f8e c0a8 013c
xxxx xxxx 0050 7c24 0000 0000 DF01 0001
5014 0000 7818 0000
15:46 : 48.634323 eth0 <xxxx17925> 192.168.1.60.http: S 3238723584: 3238723584 (0) vyhrát 512 (ttl 55, id 29184)
4500 0028 7200 0000 3706 358f xxxx xxxx
c0a8 013c 4605 0050 c10b 0000 0000 0000
5002 0200 0000 0000 0000 CA40 0000
15: 46: 48,634323 eth0 <192.168.1.60.http> xxxx17925: R 0: 0 (0) ack 3238723585 výhra 0 (DF) (ttl 255, id 0)
4500 0028 0000 4000 ff06 9f8e c0a8 013c
xxxx xxxx 0050 4605 0000 0000 c10b 0001
5014 0000 cc2d 0000
15: 46: 49,644323 eth0 <xxxx51999> 192.168.1.60.http: S 2569076736: 2569076736 (0) vyhrát 512 (TTL 55, id 29696)
4500 0028 7400 0000 3706 338f xxxx xxxx
c0a8 013c cb1f 0050 9921 0000 0000 0000
5002 0200 0000 0000 0000 6d10 0000
15: 46: 49,644323 eth0> 192.168.1.60.http> xxxx51999: R 0: 0 (0) ack 2569076737 výhra 0 (DF) (ttl 255, id 0)
4500 0028 0000 4000 ff06 9f8e c0a8 013c
xxxx xxxx 0050 cb1f 0000 0000 9921 0001
5014 0000 0000 6efd
3.1 Vyjádření
Když se podíváme na výše uvedené sekvence, nejzřejmější poznatkem je, že se jedná o sled zcela neobvyklé u typického TCP sekvence. Za normálních okolností by se dalo očekávat na straně serveru reagovat s SYN a ACK. Místo toho, každý SYN je reagovala s RST. Důvod pro toto zřejmé, pokud se podíváme na kód. V normálním aplikaci TCP server, otázky programové listen () a přijímám () volá; Klient potom vydá connect () volání iniciovat třícestné. Tento konkrétní aplikace využívá raw socket, které jsou obvykle používány pro aplikace, které používají protokoly jako je ICMP. Obě funkce serveru i klient používají blokující číst hovorů (). To znamená, že stoh obdrží datagram pro nevázaného zásuvky a jednoduše vydá RST. Tato sekvence pozorováno v rámci síťové komunikace proto může být spojen s tímto konkrétním nástrojem. Je však nutno poznamenat, že hacker s přiměřenou znalostí programování budou moci měnit základní experimentální nástroj, aby se to zdá být normální a legitimní aplikace k síti.
I když neexistuje žádná definitivní podpis generovaný touto aplikací pro použití v IDS, existují určité případy podezřelých ve výše uvedeném pořadí, což by upozornilo Pozorný analytik přítomnosti skrytého kanálu. IP Identifikace pole obvykle zvýší o jednu pokaždé, když stoh přenáší datagram. Ve výše uvedeném pořadí vidíme, že identifikace sekvence je poměrně nevyrovnané nemluvě o tom, že se snižující se vzhledem k časová razítka v určitých případech.
Další pozorování, že můžeme je, že čísla portů z klienta se mění s každý požadavek připojení a ve velmi krátkém intervalu. To je velmi neobvyklé, zejména s ohledem na skutečnost, že požadavky jsou určené pro stejného cílového portu.
I když tento exploit vyhnula IDS existuje dost výmluvné příznaky u síťového provozu, aby upozornil analytik na přítomnost skrytého kanálu. Nicméně odhalit to bude vyžadovat zachytávání veškerého síťového provozu, který se stal obtížný úkol. Lepším řešením by bylo identifikovat provoz generovaný do az konkrétních IP adres a jen past, která provozu.
4. Vkládání do TCP Potvrzení pořadovým číslem pole
Tato metoda spoofs IP adresu klienta a odrazí informaci nesoucí datagram off bounce serveru (tj falešnou IP) a vytváří tak obtížné zjistit, anonymní jednosměrný komunikační kanál. Podkladem pro tuto metodu je charakteristická pro TCP / IP třícestné, který určuje, že server reaguje na žádosti o připojení (SYN) s SYN / ACK paketu. Pole ACK obsahuje původní pořadové číslo plus jedna, tedy indikuje další pořadové číslo se očekává. Při této metodě je znak, který má být odeslán na server je zakotven v této oblasti. Všimněte si, že jakmile bylo navázáno spojení, toto pole vždy nastaveno [4]. Původní požadavek na připojení datagram od klienta je vytvořený tak, že cílová IP je falešnou IP odrazit serveru a zdroj IP adresa počítače s operačním systémem pasivní serverový kód.
Tímto způsobem odrazit server obdrží počáteční SYN a reaguje na počítači serveru s SYN / ACK jeho vlastní nebo RST v závislosti na stavu portu uvedené v žádosti o připojení. Je to v podstatě relé (byť nevědomky) požadavek od klienta na server. Je to vždy dobrý nápad použít port, jako je například port 80 (http), který bude obvykle mít hodně provozu s ním spojené, čímž poskytuje vynikající prostředek, jak utajit skrytou provoz. Naslouchající server bude přijímat příchozí datagram a toto číslo dekódovat ACK sekvence zpět do původní ASCII reprezentace znaku. Pořadové číslo se převede na ASCII vydělením číselnou hodnotu této oblasti tím, 16777216 (zastoupení 224) [1].
Tři stroje na stejné podsíti byly použity k prokázání a analyzovat to využít. Klientský počítač má IP adresu 192.168.1.111, odrazit server má adresu IP 192.168.1.20 a server počítač má IP adresu 192.168.1.60.
První paket dva pakety níže ilustrují původní přenos z klienta na server a odpověď ze serveru. Je vidět, že identifikační pole v prvním paketu překládá do 43 h, což je znak ACA. Program serveru správně čte znak a uloží ji však TCP / IP stack reaguje na SYN paket s ACK od předchozího paketu a reset (RST).
Stejně jako předtím aktivní IDS byla nejnovější verze Snort [2] společně s tcpdump zachytit všechny pakety vstupu a výstupu serveru. Klientský počítač byl použit k odeslání řetězec âCovertâ. Žádná z těchto sad pravidel na Snortu hlášeny žádné výstrahy kvůli tomuto provozu. Všechny příslušné pakety zachycené tcpdump jsou uvedeny níže. První paket dva pakety níže ilustruje počáteční vysílání z odrazné serveru na skryté TCP server a odpověď ze serveru. Je vidět, že pole ACK v prvním paketu se promítá do 43 hodin (1124073473/16777216 = 67 = 43 hodin), což je znak ASCII ACA.
19: 50: 12,957787 eth0 <192.168.1.20.http> 192.168.1.60.http: S 81531: 81531 (0) ack 1124073473 vyhrát 8576 (DF) (ttl 128, id 23554)
4500 002c 5c02 4000 8006 1b29 c0a8 0114
c0a8 013c 0050 0050 0001 4300 0001 3e7b
6012 2180 0000 0204 70d8 05b4 0000
19: 50: 12,957787 eth0> 192.168.1.60.http> 192.168.1.20.http: R 1124073473: 1124073473 (0) vyhrát 0 (DF) (ttl 255, id 0 )
4500 0028 0000 4000 ff06 f82e c0a8 013c
c0a8 0114 0050 0050 4300 0001 0000 0000
5004 0000 e89e 0000.
Program serveru správně čte znak a uloží ji však TCP / IP stack reaguje na SYN paket s resetem (RST) pro důvody podobné těm, které bylo popsáno v předchozí metodě. V tomto případě je vhodné, aby TCP / IP stack reagovat na nevyžádaný SYN / ACK s resetem. Zbytek dopravy pro celý řetězec je uveden níže.
19: 50: 13,967787 eth0 <192.168.1.20.http> 192.168.1.60.http: S 81544: 81544 (0) ack 1862270977 vyhrát 8576 (DF) (ttl 128, id 23810)
4500 002c 5d02 4000 8006 1a29 c0a8 0114
c0a8 013c 0050 0050 0001 3e88 6f00 0001
6012 2180 0000 0204 44cb 05b4 0000
19: 50: 13,967787 eth0> 192.168.1.60.http> 192.168.1.20.http: R 1862270977: 1862270977 (0) vyhrát 0 (DF) (ttl 255, id 0 )
4500 0028 0000 4000 ff06 f82e c0a8 013c
c0a8 0114 0050 0050 0001 0000 0000 6f00
5004 0000 bc9e 0000
19: 50: 14,977787 eth0 <192.168.1.20.http> 192.168.1.60.http: S 81551: 81551 (0) ack 1979711489 win 8576 (DF) (ttl 128, id 24066)
4500 002c 5e02 4000 8006 1929 0114 c0a8
c0a8 013c 0050 0050 0001 7600 0001 3e8f
6012 2180 0000 0204 3dc4 05b4 0000
19: 50: 14,977787 eth0> 192.168.1.60.http> 192.168.1.20 .http: R 1979711489: 1979711489 (0) vyhrát 0 (DF) (ttl 255, id 0)
4500 0028 0000 4000 ff06 f82e c0a8 013c
c0a8 0050 0050 7600 0114 0001 0000 0000
5004 0000 b59e 0000
19: 50: 15,987787 eth0 <192,168 .1.20.http> 192.168.1.60.http: S 81552: 81552 (0) ack 1694498817 win 8576 (DF) (ttl 128, id 24322)
4500 002c 5f02 4000 8006 1829 0114 c0a8
c0a8 013c 0050 0050 0001 6500 0001 3e90
6012 2180 4ec3 0000 0204 05b4 0000
19: 50: 15,987787 eth0> 192.168.1.60.http> 192.168.1.20.http: R 1694498817: 1694498817 (0) vyhrát 0 (DF) (ttl 255, id 0)
4500 0028 0000 4000 ff06 f82e c0a8 013c
c0a8 0050 0050 6500 0114 0001 0000 0000
5004 0000 c69e 0000
19: 50: 16,997787 eth0 <192.168.1.20.http> 192.168.1.60.http: S 81563: 81563 (0) ack 1912602625 vyhrát 8576 (DF) (TTL 128, id 24.578)
4.500 002c 6002 4000 8006 1729 0114 c0a8
c0a8 013c 0050 0050 0001 7200 0001 3e9b
6012 2180 0000 0204 41b8 05b4 0000
19: 50: 16,997787 eth0> 192.168.1.60.http> 192.168.1.20.http: R 1912602625: 1912602625 ( 0) vyhrát 0 (DF) (ttl 255, id 0)
4500 0028 0000 4000 ff06 f82e c0a8 013c
c0a8 0050 0050 7200 0114 0001 0000 0000
5004 0000 b99e 0000
19: 50: 18,007787 eth0 <192.168.1.20.http> 192.168.1.60 .http: S 81568: 81568 (0) ack 1946157057 vyhrát 8576 (DF) (ttl 128, id 24834)
4500 002c 6102 4000 8006 1629 0114 c0a8
c0a8 013c 0050 0050 0001 7400 0001 3ea0
6012 2180 0000 0204 3fb3 05b4 0000
19:50 : 18.007787 eth0> 192.168.1.60.http> 192.168.1.20.http: R 1946157057: 1946157057 (0) vyhrajete 0 (DF) (ttl 255, id 0)
4500 0028 0000 4000 ff06 f82e c0a8 013c
c0a8 0114 0050 0050 7400 0001 0000 0.000
5.004 0.000 b79e 0000
4.1 Vyjádření
Stejně jako před tím, než IDS nevznesla žádné výstrahy v důsledku tohoto provozu, takže detekce této činnosti se opírá o tcpdump zachytí. Když se podíváme na výše uvedené sekvence, nejzřejmější zjištěním je skutečnost, že existuje řada SYN / ACK pakety bez známek SYN paketů (žádosti o připojení), který by vyvolal u takové odpovědi. To je klíčem k identifikaci této metody v rámci síťového provozu. Všimněte si, že IP adresa klienta (192.168.1.111) zůstává ukrytý na server s touto metodou. To je dále diskutován v příštím průřezu.
Také si všimněte, že zdrojové a cílové porty jsou stejné. Ve výchozím nastavení oba programy klienta a serveru používají port 80 jako zdrojový port. Toto nastavení lze změnit na libovolnou hodnotu, ale faktem zůstává, že zdrojové a cílové porty budou stejné. Dva vysoké porty odesílání dat mezi sebou je stejně jako podezřelý jako dvě žádosti na portu 80 komunikující ne-li víc. Mohli bychom samozřejmě náhodně klientem a serverem porty však musíme používat otevřený port na odrazné serveru a nejběžnější otevřeného portu na všech serverech je port 80.
Při pohledu na pořadí tam jsou jiné než podobné čísla portů, které by měly způsobit charakteristiky analytik prozkoumat provoz z těchto adres velmi úzce. Například v rámci rozpětí šest vteřin došlo šest SYN / ACKâs přijatých a v rámci této množiny datagramy ACK sekvence sníží. To se může stát se mimo pořadí paketů, ale není pravděpodobné, že v tak krátké době.
5. Analýza provozu na serveru âBounceâ
samostatný vyhazovač serveru s tcpdump běží na něm bylo nastavení pro tento experiment. Cílem bylo shromáždit data pomocí tcpdump na odrazné serveru a pokusit se o identifikaci síťovou aktivitu generovaného skrytého kanálu, a dále ilustrují účinnost tohoto využívání ve skrývání adresu skryté klienta. Adresa tohoto odraženým serveru je 192.168.1.10, skrytý server je stále 192.168.1.60 a houští klient je 192.168.1.111.
Následující posloupnost paketů ukazuje sekvenci generované odesláním prvního znaku (ACA) v řetězci.
10: 11: 47,145612 eth0 <192.168.1.60.http> 192.168.1.10.http: S 1124073472: 1124073472 (0) vyhrát 512 (ttl 64, id 29184)
4500 0028 7200 0000 4006 8539 c0a8 013c
c0a8 010A 0050 0050 4300 0000 0000 0000
5002 0200 0000 0000 0000 e6ab 0000
10: 11: 47,155612 eth0> 192.168.1.10.http> 192.168.1.60.http: S 3809931549: 3809931549 (0) ack 1124073473 vyhrát 5840 (DF) (ttl 64, id 0)
4500 002c 0000 4000 4006 b735 c0a8 010A
c0a8 013c 0050 0050 E316 f11d 4300 0001
6012 16d0 e5d9 0000 0204 05b4
10: 11: 47,155612 eth0 <192.168.1.60.http> 192.168.1.10.http: R 1124073473: 1124073473 (0) vyhrát 0 (DF ) (255 ttl, id 0)
4500 0028 0000 4000 ff06 f838 c0a8 013c
c0a8 010A 0050 4300 0001 0050 0000 0000
5004 0000 0000 0000 0000 e8a8 0000
První paket je počáteční SYN od klienta (192.168.1.111) do odrazné serveru ale s falešnou zdrojovou IP ze serveru skryté (192.168.1.60). Všimněte si, že číslo pole sekvence byla kódována s prvním znakem chceme vyslat, přeložil, jak je popsáno v předchozí části. Odrazit server odpoví SYN / ACK jeho vlastní do houští serveru domnění, že se jedná o vzdálený konec, který si přeje navázat spojení. Pole ACK tohoto paketu obsahuje kódovaný znak navíc jeden. Skrytý server dostane nevyžádanou SYN / ACK paket a správně odpoví resetem (RST). Skrytý server, který poslouchá na portu 80 obdržel paket a uloží znak po překládání zpět do jeho ASCII reprezentací. Zbytek znaků v řetězci bude generovat podobnou posloupnost paketů.
Jak je možné vidět v tomto pořadí adresa skryté klienta nezobrazí kdekoliv. Ta vlastnost v pořadí, které by měly upozornit analytik k anomální činnosti je skutečnost, že dobře známé služby, jako je http (port 80) iniciuje spojení s portem 80 na odrazné serveru. To samo o sobě by mělo být důvodem k obavám a další kroky. Za druhé, vzor vytvoří se zcela jasně v průběhu času; k připojení přes falešnou IP zahájí požadavek na připojení se odrazit server bude přirozeně odpoví SYN / ACK, ale skryté serveru bude vždy reagovat pomocí resetu. Tento vzor může být spojena s vysokým stupněm jistoty na skryté kanálu a využití stroje jako nepřímým serveru.
6. Závěry
dvě metody techniky skrytých kanálu byly prokázány a analyzovány v prostředí areálu-lifeâ a výsledky jasně stanovit účinnost tohoto využití vyhýbat IDS bez státní nástroje. Výsledky stanovení velmi jasně účinnosti nástrojů, jako je tcpdump při identifikaci vzorce provozu sítě vytvořené v důsledku skrytého kanálu činnosti. V obou případech byl pozorován necharakteristické protokol události se v souladu vzory jsou specifické pro používané metody. V protokolu pole, která jsou klíčem k identifikaci těchto modelů jsou identifikace IP, sekvence a uznat číselná pole. Sekvence těchto hodnot bude nerovnoměrné a v rozporu se specifikacemi protokolů TCP / IP. V protokolu událostí, které jsou klíčem k identifikaci těchto modelů jsou nevyžádaná SYN / ACKâs a konzistentní RST odpovědi na požadavky SYN.
Je zřejmé, že bez státní příslušnosti IDS je schopen detekovat skrytý kanál aktivitu. Nástroje, jako je tcpdump na straně druhé, jsou velmi účinné při poskytování informace, které mohou být použity k identifikaci a analýze takovou aktivitu. Nicméně, je to velmi obtížný úkol na frekventovaných serverech, nemluvě o velké množství skladování potřebné. Rozumným řešením by bylo zachytit provoz pouze z těchto adres, které jsou podezřelé být generování anomální provoz.
Reference
1. Snort â Open Source Network IDS
www.snort.org
2. Steganografie Nástroje
www.jjtc.com/Security/stegtools.htm
3. TCP / IP Illustrated o objemu 1
Protokoly
W. Richard Stevens
Addison-Wesley Professional Computing série
4. Dale M. Johnson, Joshua D. Guttman, John Woodward PL, âSelf-Analysis pro Survivalâ. The Mitre Corporation
www.cert.org/research/isw/isw97/all_the_papers/no14.html
5. SANS Information Security Čítárna, âCovert programy, ochrany osobních údajů a informační Hidingâ.
http://www.sans.org/reading_room/whitepapers/covert/
Michael Holstein
sítě založené systémy detekce narušení (NIDS) jsou obvykle nakonfigurován tak, aby pasivně sledovat síťový provoz na úseku formou hardwarového kohoutku nebo jinou taktiku, jako je použití příkazu switchport-monitoru (Cisco IOS) umožnění NIDS sledovat, a v některých případech injekci síťového provozu pro všechny hostitele a místa určení procházejících segmentu.
Většina systémů Nids jsou vzorek založený vyžadující velký soubor (typicky ~ 1500 +) podpisy, aby upozornil na základě specifické kombinace TCP vlajek v záhlaví, nebo v určitém vzoru v užitečného zatížení. Správnost tohoto přístupu závisí samozřejmě na zručnosti správce psaní podpis, ale ve většině případů to umožňuje velmi přesnou detekci specifického útoku, a nebude chytit nové nebo upravené útoky.
Statisticky založené Nids systémy, které jsou obvykle používány ve spojení s vzorů, pokusí navázat směrného aktivity a pohotovosti, když pakety jsou âstatistically significantâ v jejich odchylka od normy A matematické způsob, jak říkat âweird packetâ. Na rozdíl od vzorů, tato taktika může zachytit nové (a pouze příležitostně, více kreativní), útoky na úkor být poněkud hlučné a vyžaduje lidský analýzu všech výstrah.
Protože většina Nids systémy pracují ve vrstvě 2 (OSI), prostě krmit syrové provoz do detekční motoru a spoléhají na porovnávání vzorků a / nebo statistické analýzy určit, co je škodlivý. Pakety nejsou zpracovávány Hostas TCP / IP stack â umožňuje NIDS analyzovat provoz hostitel by jinak zbavit. Tento přístup má také tu nevýhodu, že pakety mohou být záměrně vytvořené takovým způsobem, aby se plést vzor-odpovídající Nids systémy, zatímco byla stále správně sestaveny hostitelským TCP / IP k tomu, aby útok užitečné zatížení.
Vložení, Evasion, a Denial of Service: unikal Network Intrusion Detection , které Ptáček & Newsham (1998) Detaily velký počet těchto metod útoku, které jsou shrnuty níže. Techniky popsané v Ptáček a Newsham byly od programátora Dug Song použity k vytvoření Fragroute .
Fragroute , svým vlastním tvrzením [man (8) page] ââ|intercepts, upravuje a přepisuje výtok provoz určený k určenému hostiteli, kterým se provádí většina útoků popsaných v zabezpečených sítí âInsertion, Evasion, a Denial of Service âInsertion, Evasion, a Denial of Service: unikal Network Intrusion Detectionâ papír ledna 1998.â
typografické konvence použité v tomto dokumentu
Software:
Supět: Network Intrusion Detection (NIDS).
www.snort.org/dl/snort-1.8.6.tar.gz
Tcpdump: Packet nástroj pro zachycení.
www.tcpdump.org/release/tcpdump-3.7.1.tar.gz
Ethereal: Packet analýza utility.
www.ethereal.com/distribution/ethereal-0.9.3.tar.gz
Fragroute: Packet shaper. www.monkey.org/~dugsong/fragroute/fragroute-1.2.tar.gz
Mlžení: zdrojová a cílová hostitelů / sítí alias takto:
Attack.source: host zahájení útoku
Attach.target: hostitel se spuštěnou démona pod útokem.
Protokoly relace: matematické operandy se používají k označení směru komunikace:
A> A: příkazy vydané od attack.source
â attack.source: 21.862
TCP TTL: 59 TOS: 0x10 ID: 47366 IpLen: 20 DgmLen: 42 DF
*** A * R ** Seq: 0x55626D41 Ack: 0x726E5455 Win: 0x4733 TcpLen: 20
[**] [111: 2: 1] spp_stream4: je to možné detekce vyhýbavé RST [**]
05 / 02-20: 58: 16,599253 attack.target:13398 -> attack.source: 26.951
TCP TTL: 59 TOS: 0x10 ID: 49947 IpLen: 20 DgmLen: 40 DF
*** A * R ** Seq: 0x5447766C Ack: 0x68534F74 Win: 0x364E TcpLen: 20
Možná řešení na zranitelnost
Reference
Lemos, Robert. Nový nástroj kamufláže hackerů programy. ZDNet Australia. 22.dubna 2002.http://www.zdnet.com.au/newstech/security/story/0,2000024985,20264745,00.htm
Mitre. Společné zabezpečení a ohrožení. 27.srpna 1999. http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0082
Ptáček, Thomas & Newsham, Timothy. âInsertion, Evasion, a Denial of Service: unikal Network Intrusion Detectionâ. Secure Networks, leden 1998. http://www.insecure.org/stf/secnet_ids/secnet_ids.html
Roesch, Marty. Zprávy. 7 května 2002. www.snort.org/index.html
Song, Dug. âFragroute (8) http://www.monkey.org/~dugsong/fragroute/fragroute.8.txt
Timm, Kevin.IDS Evasion techniky a taktiky. SecurityFocus (Infocus). 07.05.2002 http://online.securityfocus.com/infocus/1577
By: Kyle Haugsness
Primárním cílem této analýzy je informovat detekce narušení analytik že âpolymorphic shellcodeâ neexistuje a může být v současné době používán útočníky ke kompromisu systémů. Druhým cílem je demonstrovat použití nástroje a jak to může být integrován do stávajících nebo nových využije ke změně podpis exploit, jak je vidět sítí IDS.
Tyto metody se ukázaly být poměrně úspěšné při napomáhání vniknutí analytici detekce objevit škodlivý provoz. Bohužel, âweak Linka ve výše uvedených metod spočívá na âsignature matchingâ přístupu. Tento přístup spoléhá především na aString matchingâ v rámci síťového provozu. V zájmu plnění, IDS systémy často hledají tyto âknown signaturesâ v přesných místech v datových paketech.
Příkladem programu, který vykonává tuto mlžení je Whisker Rain Forest Puppy. Tento nástroj však zatemňuje pouze útoky proti webovým serverům.
Je nutno u příklad přetečení vyrovnávací paměti využít ve volné přírodě, jak je patrné pomocí síťového systému IDS. V tomto případě je Enterasys Dragon IDS zachycen pokus o LPR zneužít proti exponované tiskárny HP JetDirect.
[NNNN NNNN NNNN] [SS SS] [RR RR] Za prvé, instrukce NOOP jsou nahrazeny jakékoliv funkční ekvivalenty. K2 se uvádí, že existuje nejméně 55 vhodné náhradní NOOP návod k architektuře Intel. To usnadňuje práci při hledání NOOP sáně mnohem obtížnější pro motor IDS, protože má vypadat lépe a hlouběji do obsahu paketů, což negativně ovlivňuje výkon systému. Dále se shell kód kódovány pomocí XOR. Hodnota, která XOR shell kód je generován pomocí âskeleton encoderâ, která je architektura nezávislé a jsou zahrnuty v distribuci zdroje. K2 infuze několik pokročilých technik, aby se XOR klíč jedinečná při každém spuštění. Nakonec se dekódovat motor je postaven ve snaze vyhnout se analýzy a zaměstnává několik technik âmodulateâ se změnou montážní návod k dosažení stejného výsledku v několika různými způsoby. Navíc, out-of-dekódovacím pořadí byl implementován měnit podpis dekódování motoru ještě více. #include "ADMmutapi.h" Že doesnât jevit jako příliš mnoho práce pro průměrného využití spisovatel. Dalším přístupem je použití zahrnuté m7 využít filtr. M7 Program akceptuje shell kódu na standardní vstup a vypíše zakódované shell kódu. Tento přístup pravděpodobně zabere trochu více zručnosti, ale je neuvěřitelně funkční, protože stávající činy lze umístit do filtru, aniž by byla přepsána. Slackware-7 $ id To bylo poměrně jednoduché â âvulnerableâ je SUID program, který byl přijat výstup z programu âexpâ. Je nutno u hexdump výstup přetečení vyrovnávací paměti řetězce (bez polymorfismus), který byl předán do programu âvulnerableâ: [**] [1: 569: 2] pokus o přepad RPC snmpXdmi [**] Zkušební verze Dragon, který jsem používal didnât mít podpis pro snmpXdmi zneužít, a proto wasnât schopen odhalit konkrétní využití. Nicméně, to přece alarm těsně po exploit byl dokončen, protože kód exploitu vydán příkaz co by âuname AAA při otevření kořenový shell. Příkaz âuname AAA na vysoké portu je podpis v Dragon a vygeneroval následující upozornění:
Někteří říkají, že v 1K přetečení, kde cca 700bytes představuje 55/256 výběr možných kódů, mohlo by to být prostředkem pro detekci. Nicméně nevěřím, IDS může to udělat velmi efektivně, IA32 pokyny jsou proměnné délky (1-> 16bytes), a to není jednoduchá záležitost dělání byte-per-byte analýzu kódu budou muset dekódovat proud (bitový), a to díky CISC kódování existuje mnoho pobočka je v této logiky, což vede ke zvýšení režie zpracování v procesu detekce. [2] Na Snort lidé mají pocit, že rýč statistická anomálie motoru detekce vypláchneme některé útoky kódované ADMmutate. Zde je výňatek z Snortu FAQ [3]: 1,10 --faq-- --snort-- Bohužel, zdrojový kód pro 2.0 isnât propuštěn přesto tak ITAS obtížné zjistit, jaké typy obran jsou v různém stádiu rozpracovanosti. Lidé z Dragon také pracují na detekci polymorfního kódu skořápky. Měl jsem e-mailovou výměnu s Ron Gula, původní zakladatele zabezpečení sítě průvodců (nyní součást Enterasys). Ron uvedl, že Dragon 5.1 má 50 aktualizované shellcode podpisů, které byly alarmující o činech, které byly âmutatedâ. Navíc, oni mají nějaký úspěch v detekci obfuscated NOOP sáně. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
By: Joseph (Randy) Taylor
Přehled
RPC protokol "V jednoduché angličtině" 1. Všechny hodnoty byte fragment zpráv používá se musí přidat až 40 let. 2. Všechny datové bajty musí být správně zakódována ve zprávě. 3. Všechny zprávy údaje fragmenty s výjimkou posledního musí být uvedeno, že více datových fragmentů následovat a musí být řádně uvést počet datových bytů, které následují. 4. Jeden Poslední zprávy fragment musí být zaslány s platnou délkou a souvisejících datových bajtů. Položka (1) výše uvedeného vyplývá, že celkový počet možných variací konverzace jsou 40! nebo 8,159 x 10 47 . A IDS podpis na bázi nemůže vyrovnat se s tak velkým počtem podpisů, i když jedna je všechny mohl psát. Která nutí IDSes podpis na bázi začlenit RPC dekódovací algoritmus protokol k extrakci "normální konverzaci" a běh, které vedou přes analýzu signaturách odpovídající. Pozorovali jsme, že minimální počet bajtů pro konverzaci request-pro-informace (uskupení A od normálního rpcinfo -p) 44 bajtů dat. SideStep používá maximální počet bajtů pro její statické variantu, která přijde na 200 bajtů. Všechny varianty konverzace bude používat ne méně než 44 bajtů a ne více než 200 bajtů. Z dekódovací hlediska to není velké množství dat manipulovat, takže IDS protokol RPC dekodér by neměly vynakládat značné dodatečné zatížení. Bohužel, je tam jeden konverzace technika, která je toxická pro oba portmap / rpcbind a IDSes, které využívají dekódování protokolu RPC.
Sečteno podtrženo
1. Robert Graham 2. RFC 1057 3. RFC 1831 4. RFC 1832 5. RFC 1833 6. RFC 2203 7. Power Programování s RPC 8. OpenBSD zdrojového kódu 9. FreeBSD zdrojového kódu |
By: Kevin Timm
IDS prodejci dělali obrovské zisky v porážet IDS únikové metody v posledních dvou letech, zejména pokud se týká řetězec odpovídající a řetězec mlžení. Únikům techniky, které jsou založené na síti není tak snadné pro IDS na obranu proti mlžení jako řetězec techniky. Tyto úniky techniky síťové úrovni byly nejprve přinesena do popředí v roce 1998 na památku výzkumné zprávě "Insertion, úniky a Denial of Service: unikal Network Intrusion Detection" Thomas Ptáček a Timothy Newsham [1]. Detaily papír specifické problémy síťové úrovni specificky s fragmentací a zasedání re-montáž. Nedávno nástroje, jako je Whisker od RainForestPuppy [2] a Nessus [3] zranitelnost skener zavedly relace sestřih technik. Mnoho technik ohraničené Ptáček a Newsham jsou společné jak pro fragmentaci a spojování relace. Sestřih relace, protože se jedná o relaci je užitečná pouze tehdy, když užitečného zatížení mohou být dodávány do více paketů, kde mohou být použity fragmentace se všechny protokoly. Tento článek se zaměří na IDS únikům pomocí sestřihu relace časové limity a v menší pravidlo stupeň varování a prvními problémy výstupních že sestřih relace může vytvořit.
Abychom pochopili falešný resetu, základní princip je poslat paket resetovací s nízkou hodnotou TTL určené k hostiteli, že IDS budou vidět a pochopit jako demontáže relace ale bude časový limit před hostitele. Následující protokoly jsou z falešné resetu, který je Snort a Cisco jsou oba náchylné k. Existují i další únikové metody podobné tomuto, který může být použit, když je hostitel více skoky pryč. Tyto techniky spojování všech využít falešného časování paketů ven, než se dostane k hostiteli. Použití těchto technik může poslat na více paketů, které obsahují stejná data v naději, že IDS budou používat nesprávné údaje k provedení analýzy. Byly testovány pouze falešné vynulování pakety, protože všechny techniky fungují na stejném předpokladu. Všimněte si, že načasování byl stanoven delší časový limit dát sám času na utváření paket RESET pomocí HPING2. Vložený vynulují a jeho přidružené odpověď (od směrovače ICMP TTL překročena zprávy) jsou zvýrazněny červenou barvou.
Obě IDS zařízení byla náchylná k tomuto falešný útok reset. Snort přihlášen nic, zatímco Cisco Secure IDS zaznamenána pouze požadavek na podpis 3000 připojení a 2005 ICMP o nedosažitelnosti cíle zprávy. Je třeba poznamenat, že vývojáři Snort jsou v současné době pracuje porazit tento styl sítě úniků za použití přiřazení minimální TTL potřebný pro montáž relace. Hodně z tohoto byl tažen nedávné propuštění nástroj podle Dug Song s názvem Fragroute [5], který testuje mnoho problémů fragmentace popsaných Newsham a Ptáček [1].
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Algis Kibirkstis
11. 2009
systémy detekce průniku (IDS) a systémy pro ochranu proti narušení (IPS) poskytují cenné ochranné mechanismy na provozních podmínkách: první vlajky anomálie jako pasivní posluchač, zatímco druhá je navržen tak, aby reagovala na zjištěné anomálie tím, že blokuje nežádoucí provoz.
Kromě těchto základních funkcí, informace shromážděné ze systémů IDS / IPS může být také použit na pomoc ilustraci a charakterizovat trendy, zajímavých událostí a nehod prostřednictvím schopnosti vizualizace dat.
Informační systémy generují protokoly, včetně bezpečnostních systémů určeného jako je IDS a IPS systémů, za předpokladu, že jsou konfigurovány tak učinit. V případě IDS / IPS, protokolování může poskytnout zajímavé informace o tom, co tyto systémy vidět přes drát. Za použití standardního formátu paketu pro digitalizaci, jako je PCAP, může několik řešení třetích stran účinně pomáhat bezpečnostní profesionál, při četbě těchto zachycování paketů souborů a renderování grafické znázornění, které mohou určit problémy nebo spoušť následné vyšetřování.
Podpora PCAP musí být zavedena na úrovni jádra, a je dělán tím, že instaluje komponenty jako libpcap (pro platformy Unix / Linux) nebo WinPcap (pro platformy Windows).
EtherApe je v současné době beta-level, open source projekt, Unix, který čte živé dopravní nebo paketové souborů zachycení, a poskytuje informace ve formátu, který směruje pozornost vztahům mezi systémy. To používá barvu přitáhnout pozornost k informacím zájmu, podporuje rozlišení názvů a může být nakonfigurován tak, aby filtrování paketů, takže je možné během vyšetřování drill-down.
NetGrok je implementace Java založené na které lze spustit na jakémkoli operačním systému, který podporuje Javu. Také podporuje monitorování a čtení souborů zachycování paketů v reálném čase, tento projekt pocházející z University of Maryland vidí síťové komunikace z hlediska vnitřní sítě a provádí kódováním barev založený na rychlosti sítě.
TNV je další univerzitní založené na OS-agnostik údaje visualizer založený na Javě. Sdružuje vzdálené počítače na jedné straně obrazovky s počítači v lokální síti a na druhé straně s podrobnostmi (předložená ve formátu tabulky), zobrazí se mezi nimi. Výběrem buňky v tabulce, relevantní informace spojené se vstupem je zvýrazněna na obrazovce.
Obraz je obecně považován za vydá za tisíc slov. Využitím síly nástrojů vizualizace síťového provozu k tomu, aby vzorek nebo podezřelý dat v jediném grafickém zobrazení, bezpečnostní analytik je nejen schopen zaostřit zkušené oko do oblasti zájmu, ale je také schopen filtrovat data a provádět dotazy na jednání stisknutím tlačítka myši. Mnoho z dnešních vizualizačních nástrojů podporovat formát zachytávání paketů PCAP, což umožňuje bezpečnostní analytik mít sadu takových nástrojů, které mají k dispozici, přičemž každý z nich poskytuje jedinečný pohled na (síťového provozu) okamžik v čase.
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Souvislosti a informace
Redundantní Síťové prvky
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
David Dobrotka
Aktualizoval Algis Kibirkstis
listopadu 2009
Řada IEEE 802.11 bezdrátových standardů LAN pokročila v posledních letech; Po 802.11a, 802.11b a 802.11g, nedávno zveřejnila 802.11n standardu se stal současný standard pro vysoce výkonné bezdrátové síťové komunikace. Pokračující dostupnost levného zařízení, spolu s šířkou pásma srovnatelnou wire-speed sítě a snadnost použití, i nadále řídit vyšší míru přijetí obchodní a domácí uživatele. Bohužel, jak se často stává, implementace takových snadno použitelnými technologiemi mají svou cenu, a představit některé nezamýšlené důsledky, jako je například schopnost škodlivých uživatelům připojit bezdrátové sítě před stále rostoucí vzdáleností.
Přivedl do oka veřejnosti v časných 1980 filmem Válečné hry, válka vytáčení - akt systematicky vytáčení rozsahů telefonních čísel objevit počítačové systémy - se stal mor v korporátní Americe. War volba byla použita při objevu modemů připojených k podnikovým serverům a stolní počítače, které jsou zase připojen k firemní LAN. Tyto cílové systémy jsou obvykle vybaveny softwarem dálkové ovládání, jako je například PCAnywhere nebo Carbon Copy, což umožňuje individuální vzdáleně připojit k firemním prostředí, stejně jako kdyby seděli u klávesnice konzole.
Obchodní jednotky, stejně jako motivovaní jednotlivci, instalaci bezdrátových přístupových bodů (AP), které působí jako mosty k podnikovým sítím. Tyto přístupové body vysílají jejich dostupnost pro každého, v rámci rozsahu signálu přístupového bodu, která může být výrazně prodloužena přes použití speciálních antén. V případě, že rozšíření bezdrátové sítě není správně nastaven, jakákoli levná bezdrátová síťová karta a laptop (nebo smartphone) lze připojit k AP s malou nebo žádnou detekci. "Válka jízdy," stejně jako jeho "válečné vytáčení" bratranec je popsáno výše, umožňuje těm, s nezbytnými nástroji a motivaci najít, katalog, a přístup zranitelné bezdrátové přístupové body - a možná i získat přístup k jakékoliv fyzicky připojené síti - z relativní anonymity o pronájem auta v blízkém místě.
Scénář popsaný výše je pouze jedním z hrozeb kterém detekce narušení analytik musí zvážit. Nejprve však musíme položit zásadnější otázku: Co je detekce narušení při aplikaci k bezdrátovým sítím? systémy detekce narušení shromažďovat informace o pozorovatelný a / nebo kontrolovatelných události, které jsou poté analyzovány a korelovány s určit věci, jako incidenty, příčiny a motivy. Proto, s cílem poskytnout základ pro bezdrátovou detekci narušení, musíme nejprve zjistit, co lze pozorovat a shromažďován pro analýzu. Tento článek se bude diskutovat o několik rudimentární události, které by mohly být zachyceny pomocí bezdrátového systému detekce neoprávněného vniknutí a podávají přehled nástrojů, které může dosáhnout takové úkoly.
Současná řešení detekce narušení mají tendenci spoléhat na relativně statické a obsažených povaze kabelových sítí. Potenciální "drátové" vetřelce by bylo třeba získat fyzický přístup nějakým způsobem, a to buď prostřednictvím přístupné zásuvce sítě nebo logicky vstoupit do sítě pomocí dobře definovaných drah. Umístění čidla pro detekci vniknutí byla otázka definování a vkládání posluchače v místech, kde všechny nebo většinu síťový provoz průjezdu. Tyto předpoklady jsou již neplatná pro bezdrátové sítě, pokud oba schváleny a nepoctiví AP může být umístěn kdekoliv v síti.
Standard IEEE 802.11 [1] definuje několik typů bezdrátových síťových topologií. The Independent Basic Service Set (IBSS, nebo "ad hoc") topologie zahrnuje dva či více bezdrátových stanic komunikujících peer-to-peer (obrázek 1). Základní Service Set (BSS, nebo "infrastruktura") topologie (obrázek 2), dodává AP připojený k "distribuční soustavy" (obvykle sítě, jako je Ethernet), jehož prostřednictvím jsou všechna bezdrátová komunikace přechází před dosažením svého cíle.
Obrázek 1
Obrázek 2
Ad-hoc síť má některé zjevné nevýhody pro detekci narušení. Yongguang Zhang a Wenke Lee napsal vynikající papír [2] bude řešit tento konkrétní problém. Oni nastínit několik zásadních problémů s bezdrátovými ad-hoc sítích:
Zhang a Lee navrhovat architekturu, v níž jsou všechny uzly působit jako nezávislý senzor IDS, který je schopen jednat nezávisle a kooperativně. Události jsou generovány z místního detekčního motoru. Pokud analýza událostí jsou neprůkazné nebo požadovat další informace, může být využit a konzultovat další síťové senzory "místní". Každý nezávislý senzor má šest modulů, z nichž tři se týkají detekce narušení:
Režim Infrastructure je místo, kde metodiky současná detekce průniků a techniky sbírka být užitečný. Vzhledem k tomu, všech dopravních tranzit přes AP, těsná blízkost k přístupovému bodu se stává logickou volbou umístit čidlo. Vzhledem k tomu, 802.11a / b / g / n bezdrátovou síť souprava je v podstatě jen další implementace sada síťové komunikace, AP funguje jako most - překlady bezdrátové rámečky na 802.3 (nebo jiné sítě médiu) počet snímků a vice versa. Data zapouzdřené ve vyšších vrstvách zůstávají beze změny. Shromažďovat události zájmu na vrstvě 3 a výše, jeden může nadále spoléhat na populárních nástrojů jako je tcpdump nebo windump. Chcete-li se podívat na informace rámu, nicméně každý nástroj musí být schopen interpretovat střední typ rámce; Naštěstí nástroje jako Kismet a Wireshark interpretačních podpora knihoven pro analýzu bezdrátové rámu.
Beacon rámy jsou pravidelně přenášeny rámce řízení zaslané AP, a obsahují informace potřebné pro bezdrátové stanice k zahájení procesu / ověřovací asociace - jako je název bezdrátové sítě (SSID) a podporovaných rychlostí přenosu. Beacon rámy jsou zvedl a číst potenciální uzlu klienta před zvažováním navázání spojení s bezdrátovým přístupovým bodem. Analytik může chtít zachytit a analyzovat tyto typy rámce k monitorování nepoctivými přístupových bodů nebo jiného potenciálně škodlivého provozu.
Zachycení rámce signalizace je podobný čichání síťový provoz na Ethernet segmentu. Chcete-li zachytit veškerý provoz, že vidí, síťová karta musí být v promiskuitní režim, ale nemusí nutně mít síťová adresa přiřazena k němu. V tomto režimu je síťová karta může sbírat data, ale pro všechny ostatní v síti jinak neviditelné. Systémy založené na Unix / Linux jsou nativně schopny zachytit bezdrátovou komunikaci pasivně, a může používat širokou škálu hardwaru bezdrátového rozhraní, které podporují různé kombinace 802.11a / b / g / n provozu; Systémy Windows mohou použít USB dongle AirPcap (http://www.cacetech.com/products/airpcap.html~~HEAD=dobj), spolu s mnohostranným analyzátorem bezdrátových paketů, jako je Kismet k tomu, aby pasivní bezdrátové paket zachytit. Aktivní paket zachytí pomocí nástrojů jako NetStumbler může poskytnout některé údaje pro analýzu, ale běžící tyto nástroje zavést riziko odhalení pro uživatele.
Jakmile (přátelský nebo škodlivý) Klient shromažďuje SSID a další periferní informace z beacon frame, je dalším krokem k inicializaci připojení k bezdrátové síti je ke spuštění procesu přidružení a autentizace pomocí AP. Začíná s vyžádat si od vedení rámu přidružení zaslané bezdrátové klientské stanice, ke kterému AP reaguje s rámem Management Association Response. Po úspěšném spojení mezi klientem a přístupovým bodem, další fázi ověřování zahájen; podrobnosti o ověřování pravosti, včetně výměny a Challenge / Response, závisí na metody ověřování podporovaných AP (např: WEP, WPA, WPA2). Analyzování kódy odezvy asociace / autentizace a zachycovat MAC adresy je také dobré místo, kde hledat událostí zájmu, jako je několik pokusů o přístup a protokol specifických pro zvýšení odolnosti proti vloupání techniky.
Různé bezdrátové analytické nástroje 802,11 paketů jsou široce dostupné na pomoc při posuzování bezdrátovém provozu. Populární freewarové nástroje patří Wireshark (dříve známý jako Ethereal) pro General Packet a analýzu rámu a Kismet (a best-of-breed bezdrátových sítí posouzení a útok nástroj).
Address Resolution Protocol (ARP) se používá k mapování IP adresy na odpovídající hardwarovou adresu [4], a používá se ke stanovení tras pro komunikaci v sítích. Arpwatch (http://www-nrg.ee.lbl.gov/) je nástroj, který sleduje změny těchto údajů a může být použit jako zdroj dat detekce. Při aplikaci k bezdrátovému přístupovému bodu [5], arpwatch by mohly být použity k získání informací o bezdrátových stanic již ověřeným a spojených s AP. Poté, co paket vstoupí do kabelové straně AP z bezdrátové strany, zajímavý provoz může se začínají objevovat, jako je zjišťování sítě a síťových spojení pocházející z adresy IP přístupového bodu.
Co tedy představit jako senzory? WIDS (Wireless IDS) systém získal popularitu v posledních letech, vzhledem k pokračující hrozbě vzdáleného zneužívání prostřednictvím bezdrátových sítí. Nasazen v překrývajících se, paralelní konfigurací s AP sítě, sítě WIDS mohou být navrženy tak, aby detekovat signály, poslouchat škodlivého provozu, a dokonce zlomit nežádoucí bezdrátové připojení. Komerční implementace WIDS prostřednictvím prodejců, jako je ISS a AirDefense jsou k dispozici, a obecně sestávají z hierarchie senzorů, regionálních kolektorových systémů a centrální konzole pro správu; open source řešení, jako je Snort-Wireless jsou k dispozici pro ty, kteří s více omezenými rozpočty.
Celý proces metodologie a nástroje popsané výše poškrábat povrch bezdrátové detekce narušení. Tento článek byl popsal několik rudimentární formy bezdrátové detekce narušení pro nejzákladnější síťové architektury - detekce bezdrátové stanice sdružujících s přístupovým bodem připojeným ke kabelové síti. Nedávné pokroky byly provedeny v poli, s mnoha tradiční "drátové" nástrojů stávat přizpůsoben pomáhat s bezdrátovým pohledu a nových specializovaných nástrojů zajišťujících schopnosti v oblasti zachytávání paketů, interpretace paketů a detekce narušení .. S rostoucí popularitou "wardriving" a jiné prostředky nepoctivými komunikací, budou tyto schopnosti jistě i nadále požadováno, aby pomáhají chránit naše stále rostoucí bezdrátové infrastruktury.
ANSI / IEEE. "IEEE standard pro informační technologie Telekomunikace a výměna informací mezi systémy Lokální a metropolitní sítě Specifické požadavky Část 11:.... Wireless LAN Medium Access Control (MAC) a fyzickou vrstvu (PHY) specifikace." 1999.
Zhang, Yongguang, Wenke, Lee. "Intrusion Detection v bezdrátové síti ad-hoc sítě." Sborník šesté výroční mezinárodní konference o oblasti mobilních počítačů a sítí. 2000.Arbaugh, William A., Shankar, Narendar, Wan, YC Justin. "Vaše 802,11 bezdrátové sítě nemá šaty." Katedra informatiky, University of Maryland. 31.března 2001.
Stevens, W. Richard. TCP / IP Illustrated, Volume 1. Massachusetts: Addison-Wesley. 1994.
Shipley, Peter. Rozhovor. http://www.starkrealities.com/shipley.html . 31.července 2001.
Patrick Ethier DefiniceGeorge Ho popisuje Meta IDS jako je technologie, která umožňuje jediné bezpečnostní konzole přijímat od a komunikovat se všemi nasazených zařízení, která jsou od různých výrobců [1]. Pete Loshin z informací časopisu Security dodává, že je systém, který může přijímat výstrahy zabezpečení ze všech nasazených bezpečnostních zařízení, masírovat surových dat, extrahovat užitečné informace a předložit tyto informace ve formátu zvládnutelné [3]. Přijatá v tomto kontextu, Meta-IDS využívá informace poskytnuté různými bezpečnostními zařízeními a analýzy, provádí analýzu trendů, druhy, koreluje a prezentuje informace o zabezpečení na správce sítě. Vzhledem k tomu, detekce narušení nepochází ze síťových dat se nazývá Meta IDS z použití meta údajů použitých ve své analýze. Ale Meta IDS je mnohem více než super konzole pro detekci průniků. Meta IDS je řešení pro zabezpečení nasazení celopodnikových. Mnoho prodejců, jako je nabídka sběrných servery ISS a NFR, které jsou schopny centralizovat správu a monitorování jejich různých senzorů. Některé technologie, jako jsou ledovce od ISS / NetworkICE jsou schopni monitorovat a řídit oba HIDS a řešení Nids. Konvergence IDS řešení a rostoucí přijetí Intrusion Detection Message Exchange Format [2] [4] (IDMEF) naruší současnou definici Meta IDS jak shora uvedeno. Meta IDS budou muset spoléhat na ostatní výhody, které nabízí na celopodnikové nasazení s cílem prokázat svou hodnotu. Stanovení potřebyPotřeba meta IDS vyplývá z neschopnosti současných systémů detekce narušení bezpečnosti, aby získali povědomí o "síť" kvůli nedostatku rozsahu. Je to proto, že jednotlivé systémy IDS přístup k datům, který teče přes určitý kanál na určitém místě v síti. Pokud je útok je zaměřen na části sítě, která snímač nepokrývá ani útok je vypuštěn na hostiteli za kontrolní bod nabízené senzoru IDS pak to senzor se nemůže týkat událostem zjištěným jinými IDS nasazených na síť. HIDS a NIDS spoléhat na surová data ovlivnění hostitele nebo tekoucí přes síť k identifikaci anomálií nebo nahlédnout do signatur útoků. Výsledkem je konstantní tok spouštěcích zpráv na základě nějaké vzorů. Problém je v tom, že pravidelné, neškodné síťové aktivity mohou obsahovat tyto vzory a výsledkem je výroba hodně záznamů, z nichž dobré procento signalizuje normální provoz. Mnoho správci sítě zakázat detekci určitých útoků, aby se snížilo množství informací, které musí být zpracovány. Automatizace předběžných operací, které bezpečnostní technik síť by dělat v analýze dat, jakož i poskytování schopnost přijmout tento interpretován dat a odstranit známé nebo vysvětleny výskyty je další identifikována potřeba pro celopodnikové nasazení IDS. Obrovský problém často setkáváme v nasazení bezpečnostní monitoring v podniku je topologie sítě. odborníci zabezpečení sítě ne vždy řešit ideální situaci. Vnitřní spojení, business-to-business vazby, ploché sítě, segmentové sítě; heterogenní sítě již představují dost bolí hlava s IDS z hlediska pokrytí, výkonu a účinnosti. K tomu je potřeba zabývat se zranitelností, ukládání citlivých informací a nutnost zachovat dostupné systémy pro obchodní operace. Poskytování schopnost zpracovávat IDS události z hlediska posouzení zranitelnosti, hodnocení rizik a hrozeb uvádí jako jedno z nejzajímavějších výhod, které nabízí MID až po velké organizace. rozvinutíPři nasazování MID, je důležité trvat několik faktorů v úvahu. Za prvé, MIDS musí získat přístup k IDS senzory, které jsou rozmístěny po celé síti. Za druhé, MIDS musí být přístupný pro více operátorů zabezpečovacích systémů od různých místech, aby mohly využívat funkcí systému. Zatřetí, MIDS musí být nasazeny v zabezpečeném prostředí. Tyto podmínky se obvykle nacházejí v Centru Network Operations (NOC) společnosti. Správně nasazené operačních středisek obvykle nabízejí redundantní, mimo pásmo spojení s kontrolovaným přístupem. Úvahy v nasazení středy na podnikové síti by měl zahrnovat škálovatelnost a flexibilitu. Škálovatelnost znamená, že kapacita středy zpracovat určité množství id události by měly být distributable napříč různými motory, aniž by ztratily některou z výhod, které srovnávací motorem středy. Flexibilita znamená, že motor MID měl být otevřen pro manipulaci nové typy událostí, jakož i přijímat informace z nových typů motorů IDS po počátečním nasazení bez odstranění jakékoliv účinnost od srovnávací motoru. FunkceFunkce, které by měly být nalezeny v následujících meta IDS systémy se musí zabývat manipulaci s událostmi v kontextu sítě, korelace založené na přístupu k politice, zranitelnosti, posuzování hrozeb a posouzení rizik, je distribuovaná architektura šířit zatížení zpracování, kterým se ukládá množství dat a aby systém nadbytečné, stejně jako modulární / programovatelné rozhraní pro umožnění rozšíření systému přijmout budoucí technologie. Manipulace s událostí v rámci sítě znamená, že události generované v celé síti jsou analyzovány a uzavřeno přes technologie pro vynucování, nebo propagují význam sérii událostí. V tomto případě korelace může být uváděn v různých formách. Měřící význam akce narušení je odvozena ze vztahu mezi pár věcí. Meta IDS může tento proces automatizovat. V odkazu [6], je diskuse o klasifikaci útoků, pokud jde o nebezpečí a přenositelnosti. Tvrzení je, že využít více faktorů při přidělování kritičnost ve vztahu k organizaci. MID musí být schopen vypočítat tyto faktory ve téměř v reálném čase. pokus o narušení bezpečnosti musí být ve srovnání s zranitelnosti. Středy obsahuje seznam počítačů v síti a výpis posledního zranitelnosti. Je-li hostitel byly označeny jako "záplaty" pro tento konkrétní pokus o narušení poté upozornil je degradován. Pokud existuje podezření o odolnosti hostitele na konkrétní zranitelnosti pak je podporován pokus o narušení. Za druhé, pokus o vniknutí musí být ve srovnání s hodnocením hrozeb. Je-li hostitel se nachází v situaci, kdy je náchylný k napadeni a že byla přijata opatření ke snížení hrozby a pak pokus o vniknutí je degradován. Je-li hostitel nachází v oblasti, která nebyla považována za náchylné k útoku, a že přijatá opatření na ochranu nejsou tak těsná pak je podporován pokus o vniknutí. Za třetí, pokus o vniknutí musí být ve srovnání s posouzením rizik. Pokud buď cíl nebo zdrojovým uzlem obsahuje vysoce citlivé informace nebo pokud je riziko uložené na možnost, že hostitel byla ohrožena je vysoká pak je podporován pokus o vniknutí. V případě, že informace o hostitele je zanedbatelná a řízení přístupu k síti, aby to tak, že tento hostitel kompromitaci má malý význam potom pokus o vniknutí je degradovat. Dalším aspektem korelace je vyhovující scénář. Scénář odpovídající sestává z brát řadu akcí dohromady a měnit je na jednu událost. Z toho důvodu zranitelnosti na poštovním serveru porovnané s přenos zóny ze serveru DNS a ARP povodní portu na přepínači by mohlo znamenat, že někdo se snaží převzít svůj poštovní systém. Jsou schopni vysvětlit vztah mezi událostmi může trvat událost, která je jinak vnímána jako neškodný a dát do souvislosti s globální útoku. Tento druh korelace lze provést pomocí expertního systému, který učí tím, že scénáře prvního přivedená ze strany bezpečnostních inženýrů a naučil se v průběhu času nebo to lze provést pomocí dolování dat metodami vhodnými pro detekci narušení. Wenke Lee a Salvatore Stolfo [7] [5] projednány na krajnosti důsledky používání techniky dolování dat pro detekci narušení. Ačkoli jejich papír popisuje použití přístupu z oblasti dolování dat na tcpdump údajů ao sendmail protokolů, je možné abstraktních jejich metod, které mají být použity na IDMEF zpráv. Korelace čelí mnoha výzvám. Nejdůležitější je nedostatek standardizace pro vztah mezi známé zranitelnosti a typ útoku. Přestože databáze pavouků, databáze CVE a dalších komerčních databází druhu mají za cíl označit veškeré známé zranitelnosti, žádné dva výrobci používají stejnou konvenci hlásit podobné nálezy. Z tohoto důvodu, port scan, což je velmi časté a obecný výskyt, může být detekován v mnoha různými způsoby. Skenování portů zjištěné odfrkl a skenování portů zjištěných BlackICE nemusí vždy znamenat totéž. IDMEF [2] byl koncipován pro výměnu dat mezi systémy detekce průniku, ale neposkytuje mechanismus říkat: "To je SYN skenování" v univerzálním jazykem. Aby bylo možné použít data mining datových sadách jsou vyrobeny z rozmanitých technologií středy musí překonat tento problém. Možnost sledování událostí je další vlastnost nabízí středy. To uniká přes do říše počtu cestujících a CRM software, ale je také důležitou součástí detekce narušení. Nabízí schopnost provozovatele, aby zjistil, zda podobná akce se stalo v minulosti a jak se situace byla vyřešena má nezměrnou hodnotu k organizaci při řešení otázek souvisejících s bezpečností. Tato funkce je také důležité umožnit koordinaci mezi geograficky oddělených bezpečnostních expertů, kteří pracují na společném případu. Použití středy jako dispečink, pro vyplňování formulářů a ukládání dat o událostech se stává klíčovým aspektem v závodě zabezpečit sítě pomocí synchronizace opatření přijatá personálem. A konečně, schopnost měřit efektivitu technologií nasazených a nabídnout statistické údaje naznačují, jak byly zjištěny mnoho událostí a kolik jich bylo vysvětleno / vyřešeny znamená, že jasný obraz lze natírat na potřebu "hovězí up" bezpečnost v určitých oblastech a ospravedlnit rozpočet pro udržení úrovně zabezpečení v jiných. MIDS nabízí možnost působit na události. Vezmeme-li v úvahu, že korelace incidentů a sledování může poskytnout určité okno varování, motor MID může poskytnout možnost řádně vypnut server a minimalizovat ztrátu informací. Je pochopitelné, že je třeba dbát, aby se zabránilo nové typy popření servisních útoků pomocí těchto automatických mechanismů. Některé IDS prostředí, jako je například SNORT pomocí modulu flexresp, již nabízejí tuto funkci. Tyto IDS mohou vypořádat s určitým rozhodování low-level s cílem automatizovat odpovědi, ale jejich nedostatek rozsahu znamená, že nejsou vhodné při rozhodování zahrnující mnoho faktorů. MIDS má tento prostor, a proto může tlačit obálku efektivnější rozhodování na vyšší úroveň. MID je schopen řídit několik bezpečnostních zařízení ze společné platformy. To usnadňuje provádění politiky v rámci sítě. Některé technologie, jako je OPSEC a SNMP již nabízejí možnost dálkově překonfigurovat zařízení. Z tohoto důvodu MIDS by měla být koncipována tak, aby převod mezi různými formáty dodavatelů a umožnit operátorům naladění jednotlivých čidel z jedné platformy. Tam je nějaká debata o tom, zda tento přístup by měl být pořízen pomocí zavedeného softwarový agent [] na každém hostiteli nebo modulární síťový agent, který umí konvertovat mezi univerzálním jazykem a agenty již nasadili / integrovaný s každým hostitele. Hlavním rysem středy by měla být schopnost poskytovat globální stav bezpečnosti. To znamená, že zprávy by měly být generovány, aby zahrnovala společné cíle, společné vetřelce, srovnání mezi událostmi byla odhalena jedním typem technologie, ale ne jiný, atd. Tento stav bezpečnosti umožní bezpečnostní experti, aby se správná rozhodnutí, protože mají pevné metriky, na nichž aby založily svá rozhodnutí na. MID, spojený s průmyslovými osvědčených postupů, má schopnost dělat vytváření sítí svět lepší a bezpečnější místo. Závěrem lze říci, MID je relativně nová technologie, která, stejně jako konzoly pro správu sítě na počátku 90. bude to umožňují schopnost překonat problémy nasazením velkého množství IDS v síti a snížení množství úsilí a prostředky, které potřebují věnován na ně. To umožní organizacím vykonávat svou činnost a nestarat se o integraci bezpečnostních technologií do svých sítí. Reference:1 - http://rr.sans.org/intrusion/tomorrow.php |
