System ARAKIS Seminarium Niezawodność Sieci Teleinformatycznych Tomasz Torcz, STI Gdańsk, 24.10.2006 

System ARAKIS Seminarium Niezawodność Sieci Teleinformatycznych Tomasz Torcz, STI Gdańsk, 24.10.2006 

System ARAKIS - szkic historii - anatomia zagrożenia - zbieranie danych - ocena danych - wykrywanie zagrożeń 

System ARAKIS ­ Agregacja, Analiza i Klasyfikacja Incydentów Sieciowych ­ stworzony przez polski CERT ­ RFC 2350 (Expectations for Computer Security Incident Response) 

No content

System ARAKIS ­ rosnąca liczba ataków na systemy komputerowe ­ coraz więcej danych przechowywanych na serwerach ­ coraz ważniejsze wczesne wykrywanie ­ lepsze przygotowanie == większa szansa na obronę 

System ARAKIS ­ ARAKIS działa w oparciu o monitorowanie sieci podstawowa funkcjonalność: ­ informowanie o nowych zagrożeniach ­ opis zagrożeń w formie sygnatur ­ analiza trendów związanych z zagrożeniami ­ korelacja informacji z różnych źródeł i instytucji CEL: zwiększenie kompetencji i wiedzy w zakresie zagrożeń sieciowych i polepszanie trafności wyboru środków ochrony. 

System ARAKIS Gromadzone informacje przydatne również do: ­ identyfikacji źródeł ­ grupowanie źródeł ataku ­ wspomaganie analizy powłamaniowej ­ wykrywanie zautomatyzowane, możliwość analizy przez operatora 

Mechanizm ataku sieciowego Cykl życia luki: ­ publikacja (informacje o podatności) ­ exploit (informacja o zagrożeniu) ­ wykorzystanie w atakach (informacja o incydentach) ­ samopropagujący się kod Zagrożenie – narzędzie umożliwiające wykorzystanie podatności. Incydent – użycie narzędzia. 

Mechanizm ataku sieciowego Zagrożenia exploit robak Incydenty sygnały wykorzystania Podatności 

Mechanizm ataku sieciowego Coraz częściej sytuacja odwrotna! ­ sygnały o włamaniach ­ wyizolowanie wektora ataku ­ rozpoznanie i publikacji informacji o luce Wykrywanie scenariusza 2 – podstawowe zadanie ARAKIS 

Informacje o podatnościach Rodzaje ataków: ­ DoS (Denial of Service) ­ ujawnienie informacji (information disclosure) ­ zdalne wykonanie kodu Poziom zagrożenia 

Informacje o podatnościach ­ znajomość podatności umożliwia przewidzenie charakteru wykorzystania: ­ skuteczność zdalnego dostępu ­ szybkość propagacji (TCP vs UDP, Slammer) ­ narażone usługi (numery portów) ­ Administratorzy są zbyt wolni (dni!) 

Informacje o zagrożeniach ­ drugi sygnał ostrzegawczy: opublikowanie exploita ­ wiąże się z rozpoczęciem wykorzystywania ­ ostatnia szansa na reakcję administratorów ­ kolejny sygnał: robak lub wirus 

Informacje o incydentach ­ informacja o włamaniu ­ zapis z systemu IDS (Intrusion Detection System) ­ e­mail z dziwnym załącznikiem ­ przypadek phisingu ­ pozwala określić fazę zaawansowania wykorzystywania luki, także wykrywać nowe 

­ monitorowanie sieci rozległych ­ źródło danych: sondy działające w sieciach uczestników ­ instytucje mają dostęp do baz informacji powstałych w wyniku agregacji ­ typowe źródła: honeypoty, systemy firewall, pocztowe systemy antywirusowe ARAKIS – źródła danych 

ARAKIS – źródła danych 

­ nie powinny rejestrować ruchu ­ idealnie wykrywają skanowanie ­ systemy firewall odrzucają niepożądany ruch – z definicji podejrzany ­ honeypoty w pełni otwarte ­ łatwe w instalacji – wystarczy wydzielenie zakresu IP i połączenie z sondą Źródła danych - honeypoty 

­ lista portów docelowych TCP/IP na których odnotowano godny uwagi ruch ­ o kolejności w rankingu decyduje trend ­ dla każdego źródła danych osobny ranking ­ ranking tworzony co 5 minut na podstawie obserwowanych przez sondy przepływów Źródła danych – rankingi 

­ wartość trendu obliczana z porównania średniej wartości ruchu w stosunku do średniej ważone kroczącej za okres dłuższy ­ wpływa też waga sondy, zależna od wielkości monitorowanej sieci i jakości generowanych danych ­ rankingi nie rozróżniają skanowania od ataku Źródła danych – rankingi 

­ Źródła danych – rankingi 

­ ­ Źródła danych – rankingi 

­ oparte na otwartym programie snort ­ bazuje na znanych sygnaturach (scenariusz 1) ­ wzorce zbierane przez uczestników z całego świata ­ można wykrywać tylko znane zagrożenia Identyfikacja znanych zagrożeń 

­ najbardziej wartościowe ­ jednocześnie najbardziej złożone ­ efektem rozpoznania jest sygnatura Rozpoznawanie nowych zagrożeń 

­ pierwszy krok: wykrycie anomalii w ruchu sieciowym ­ sklasyfikowanie anomalii jako atak ­ ważna jest nowość oraz powtarzalność ­ jeśli atak – analiza off­line (algorytmy bardziej skomplikowane) ­ wytworzona sygnatura jest weryfikowana ­ proces w połowie zautomatyzowany Rozpoznawanie nowych zagrożeń 

Wytworzenie sygnatury: ­ funkcja mieszająca MD5 % echo Zupa grzybowa | md5sum 06461641a665c06d41fbc8db7bc1f8ab % echo Zupa Grzybowa | md5sum 1094b66e42e0c1922a289c0527490e74 ­ nie nadaje się do wykrywania wariantów ataku Rozpoznawanie nowych zagrożeń 

Wytworzenie sygnatury: ­ mechanizm przesuwnego okna ­ wytworzenie wielu odcisków ­ porównanie pomiędzy pakietami ­ przekroczenie progu – alarm ­ duża liczba odcisków – wymaga dużo mocy obliczeniowej Rozpoznawanie nowych zagrożeń 

­ zastąpienie funkcji kryptograficznych algorytmem Rabina­Karpa ­ bardzo szybkie ­ można wykorzystać poprzednie obliczenia przy jednobajtowym przesunięciu ­ dalsze przyspieszenie – zastosowanie maski Rozpoznawanie nowych zagrożeń 

­ maska powoduje spadek dokładności ­ prawdopodobieństwo wykrycia zagrożenia o długości okna b wynosi 0,5k ­ przy długości x, prawd. 1­e­f(x­b+1), f = 0,5k ­ przykładowo: maska 4 bity, okno 32 bity, zagrożenie 100 bitów; pr. wykrycia: 98,66% Rozpoznawanie nowych zagrożeń 

­ bazy whois RIPE, ARIN, APNIC, LACNIC ­ tablice BGP z routeviews.org ­ przechowywane lokalnie ­ periodycznie uaktualniane ­ rozpoznanie systemu operacyjnego ­ p0f Prezentacja zagrożeń 

­ ARAKIS wchodzi w fazę dojrzałą ­ zaimplementowane: sondy, Centrum, protokoły komunikacyjne ­ działająca korelacja ­ zadowalający poziom poufności ­ oczekiwana poprawa: jakość sygnatur, korelacja, wykrwanie ataków polimorficznych Podsumowanie 

Dziękuję za uwagę.