ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ III III

Β. Μάγκλαρηςmaglaris@netmode.ntua.gr

www.netmode.ntua.gr

18/12/2009

• Ιοί, Δούρειοι ίπποι (trojans – προγράμματα "σε απόκρυψη")– Έχουν αργή μετάδοση, προσκείμενοι σε εκτελέσιμα προγράμματα

• Αυτόματα διαδιδόμενοι ιοί (worms)– Εκμεταλλεύονται συνήθως προβλήματα λογισμικού σε Λ.Σ. ή εφαρμογές για

να μεταδοθούν στο Διαδίκτυο • Διαδίδονται σε υπολογιστές με κοντινές σε τιμή διευθύνσεις IP και το ίδιο

πρόβλημα ή από προκαθορισμένη λίστα διευθύνσεων

– Σε ορισμένες περιπτώσεις χρησιμοποιούνται παραπλανητικά μηνύματα email που παρασύρουν το χρήστη στο να εκτελέσει συγκεκριμένες ενέργειες στον υπολογιστή του

• Μέσω e-mail χρησιμοποιούν τον κατάλογο διευθύνσεων του χρήστη για τη μετάδοση τους σε νέους χρήστες

– Εφόσον χρησιμοποιήσουν ιδιαίτερα διαδεδομένο πρόβλημα είναι δυνατόν να εξαπλωθούν με μεγάλη ταχύτητα σε ολόκληρο το Διαδίκτυο

– Οι Δούρειοι Ίπποι πολλές φορές χρησιμοποιούν worms για τη μετάδοση τους

ΕΠΑΝΑΛΗΨΗ

Κακόβουλο Λογισμικό (1)Κακόβουλο Λογισμικό (1)malwaremalware

ΕΠΑΝΑΛΗΨΗ

Κακόβουλο Λογισμικό (2)Κακόβουλο Λογισμικό (2)malwaremalware

– Ιοί (viruses), Δούρειοι ίπποι (trojans)– Αυτόματα διαδιδόμενοι ιοί (worms)

Διαδίδονται εκμεταλλευόμενα προβλήματα λογισμικού (vulnerabilities) ή παραπλανώντας χρήστες

Κίνδυνοι – Ιστορικό Κίνδυνοι – Ιστορικό (1)(1)

Κίνδυνοι – Ιστορικό Κίνδυνοι – Ιστορικό (2)(2)

• Τι είναι ένα Firewall:– "Ένα σύστημα ή συνδυασμός συστημάτων που ελέγχουν την

πρόσβαση και παρέχουν έναν βαθμό ασφάλειας μεταξύ δικτύων" Marcus J. Ranum, δημιουργός του πρώτου firewall

• Λειτουργία– Δρομολογητής που ελέγχει την κίνηση (Screening router / Bastion

Host). Μπορεί να συνδυαστεί με την ύπαρξη ιδιωτικών εσωτερικών διευθύνσεων και μετάφραση στο σύνορο (Network Address Translation).

– Ο πιο απλός Firewall είναι ο δρομολογητής με σωστά στημένες ACLs

• Για να χρησιμοποιήσουμε Firewall χρειάζεται να σχεδιαστεί κατάλληλα το δίκτυο, σύμφωνα με τις πολιτικές ασφαλείας

Συστήματα Δικτυακής Προστασίας (1)Συστήματα Δικτυακής Προστασίας (1)FirewallsFirewalls

• Βασικοί κανόνες<Rule<RuleGroupGroup>>

<Action><Action> Deny ή Allow

<Protocol><Protocol> IP, TCP, UDP, ICMP, κ.λπ.<SrcPort> <DstPort><SrcPort> <DstPort>

<SrcIP> <SrcMask><SrcIP> <SrcMask> Πηγή - Ξεχωριστές διευθύνσεις IP ήομαδοποιήσεις τους

<DstIP> <DstMask<DstIP> <DstMask>> Προορισμός

Παράδειγμα (από δρομολογητή Cisco): access-list 100100 permitpermit tcptcp anyany host 171.16.23.1host 171.16.23.1 eq 80eq 80

– Οι σύγχρονοι Firewall έχουν πολλά επιπλέον χρήσιμα χαρακτηριστικά• Γραφικό περιβάλλον• Ορισμό ομάδων κανόνων• Ορισμό περιοχών προστασίας και ομάδων χρηστών• Διαδικασία ενημέρωσης κανόνων μέσω εξυπηρετητών και σύμφωνα με τις εταιρικές

πολιτικές ασφαλείας κ.λπ.

Συστήματα Δικτυακής Προστασίας (2)Συστήματα Δικτυακής Προστασίας (2)FirewallsFirewalls

• Πολιτικές πρόσβασης– Απαγόρευση όλων των συνδέσεων πλην εξαιρέσεων ("Deny unless

allowed") – χρησιμοποιείται για ισχυρή προστασία, συνήθως στην εισερχόμενη κίνηση ενός δικτύου.

– Διέλευση όλων πλην εξαιρέσεων ("Allow unless denied") – δίνει μεγαλύτερη ελευθερία

– Επιπλέον:• Διέλευση κίνησης που έχει ήδη ολοκληρώσει το TCP Three Way

Handshake (Established)

• Απαγόρευση πακέτων που δεν έχουν τις προβλεπόμενες διευθύνσεις προέλευσης (προστασία από το spoofing)

Συστήματα Δικτυακής Προστασίας (3) Συστήματα Δικτυακής Προστασίας (3) FirewallsFirewalls

Firewalls - Firewalls - Παραδείγματα Χρήσης (1)Παραδείγματα Χρήσης (1)

Firewall

Διαδίκτυο Δρομολογητής Πρόσβασης

ΕσωτερικόΔίκτυο

Firewalls - Firewalls - Παραδείγματα Χρήσης (Παραδείγματα Χρήσης (22))

Firewall

Διαδίκτυο Δρομολογητής Πρόσβασης

WebΆλλες

ΥπηρεσίεςΕσωτερικόΔίκτυο

"Αποστρατικοποιημένη Ζώνη" Demilitarized Zone - DMZ

– Παρέχει αυξημένη πρόσβαση σε κάποια συστήματα του δικτύου χωρίς να θέτει σε κίνδυνο το υπόλοιπο

Το Firewall αποτελεί το σημείο υλοποίησης της πολιτικής ασφάλειας του οργανισμού:

• Έλεγχος συνδέσεων • Έλεγχος πρόσβασης ανά

περιοχή

Firewalls - Firewalls - Παραδείγματα Χρήσης (3)Παραδείγματα Χρήσης (3)

Firewall /NAT

Διαδίκτυο Δρομολογητής Πρόσβασης

ΕσωτερικόΔίκτυο (1)

ReverseWebProxy

MailRelayΕσωτερικό

Δίκτυο (2)

WebServer

MailServer

Μη πραγματικέςΔιευθύνσεις IP, τύπου

10.1.x.x

Πραγματικέςδιευθύνσεις

Το Firewall υλοποιεί πολιτικές πρόσβασης ανάμεσα στα διάφορα τμήματα του οργανισμού

X

• Τα υπολογιστικά συστήματα, ασχέτως κατασκευαστή και λειτουργίας, είναι ευάλωτα σε πολλαπλές απειλές, η δε πλήρης εξασφάλιση τους είναι τεχνικά δύσκολη και οικονομικά ασύμφορη.

• Ένα IDS παρακολουθεί το περιβάλλον στο οποίο είναι εγκατεστημένο– Υπολογιστικό σύστημα (Host based IDS)

– Δίκτυο (Network Based IDS)

• Μεθοδολογίες ανίχνευσης– Σύγκριση των στοιχείων που συλλέγονται με συγκεκριμένες "υπογραφές"

("signatures") γνωστών περιστατικών ασφαλείας – Misuse Detection

– Στατιστική ανάλυση κάποιων παραμέτρων ώστε να αναγνωριστεί η απόκλιση από τις συνηθισμένες τιμές τους – Anomaly Detection

Συστήματα Ανίχνευσης ΕπιθέσεωνΣυστήματα Ανίχνευσης Επιθέσεων (1) (1)Intrusion Detection Systems – IDSIntrusion Detection Systems – IDS

Συστήματα Ανίχνευσης ΕπιθέσεωνΣυστήματα Ανίχνευσης Επιθέσεων (2) (2)Το Το IDS SnortIDS Snort

• Σύστημα IDS που παρακολουθεί την κίνηση στο δίκτυο αναζητώντας υπογραφές γνωστών επιθέσεων στα πακέτα που παρακολουθεί. – Εγκατάσταση σε σημείο απ' όπου διέρχεται η κίνηση του δικτύου

– Οι υπογραφές περιγράφονται με κανόνες που εισάγονται στο σύστημα

• Σύστημα ανοιχτού κώδικα (Open Source Project)• Υποστήριξη επεκτάσεων (plugins) για πρόσθετη λειτουργικότητα

Παράδειγμα κανόνα (προσπάθεια παράνομης εκτέλεσης εντολών με το cmd.exe στον εξυπηρετητή WEB-IIS):alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe access"; flow:to_server,established; uricontent:"cmd.exe"; classtype:web-application-attack;)

Συστήματα Ανίχνευσης Επιθέσεων (3)Συστήματα Ανίχνευσης Επιθέσεων (3) Βασική Αρχιτεκτονική Βασική Αρχιτεκτονική IDSIDS

• Ακρίβεια: Τί συχνότητα εμφάνισης έχουν οι εσφαλμένα θετικές ανιχνεύσεις (false positives) δηλαδή η θεώρηση νόμιμων λειτουργιών ως επιθέσεις

• Απόδοση. Πόσο γρήγορα μπορεί να συλλέξει στοιχεία και να επεξεργαστεί αναφορές. Ειδικά σε περιπτώσεις όπου υπάρχει μεγάλη ροή πληροφορίας (π.χ. συστήματα NIDS που παρακολουθούν δικτυακές συνδέσεις υψηλής ταχύτητας)

• Πληρότητα Ανίχνευσης: Το ποσοστό επιθέσεων που θα καταφέρει να ανιχνεύσει.

• Αντοχή σε επιθέσεις προς το ίδιο το σύστημα IDS

• Ταχύτητα κατάληξης σε συμπεράσματα

Συστήματα Ανίχνευσης Επιθέσεων (4)Συστήματα Ανίχνευσης Επιθέσεων (4) Παράμετροι Αποτίμησης Ποιότητας Παράμετροι Αποτίμησης Ποιότητας IDSIDS

Ειδικά Θέματα:Ειδικά Θέματα: Αντιμετώπιση Επιθέσεων Αντιμετώπιση Επιθέσεων DDoSDDoS

Ειδικά Θέματα:Ειδικά Θέματα:Πηγές Πληροφοριών για τη Κατάσταση ΔικτύουΠηγές Πληροφοριών για τη Κατάσταση Δικτύου

Υπάρχουσες τεχνικές παθητικής παρακολούθησης δικτύων:– Packet capture– SNMP– Netflow

Διάφοροι περιορισμοί: ευκολία χρήσης, χρονική ακρίβεια, δυνατότητες μέτρησης, απαιτούμενοι πόροι (υπολογιστική ισχύς, μνήμη)

Τα μετρικά bps, pps δεν είναι πάντα αποτελεσματικά.

Καλό μετρικό είναι SFR

(μέτρηση με packet capture) και πλήθος flows με μόνο SYN flag (μέτρηση με Netflow) λόγω συμμετρίας του TCP.

Ειδικά Θέματα: Ειδικά Θέματα: Ανίχνευση Ανίχνευση

Επίθεσης Επίθεσης TCP SYNTCP SYN