Slide 1

Slide 1 text

System ARAKIS Seminarium Niezawodność Sieci Teleinformatycznych Tomasz Torcz, STI Gdańsk, 24.10.2006

Slide 2

Slide 2 text

System ARAKIS Seminarium Niezawodność Sieci Teleinformatycznych Tomasz Torcz, STI Gdańsk, 24.10.2006

Slide 3

Slide 3 text

System ARAKIS - szkic historii - anatomia zagrożenia - zbieranie danych - ocena danych - wykrywanie zagrożeń

Slide 4

Slide 4 text

System ARAKIS ­ Agregacja, Analiza i Klasyfikacja Incydentów Sieciowych ­ stworzony przez polski CERT ­ RFC 2350 (Expectations for Computer Security Incident Response)

Slide 5

Slide 5 text

No content

Slide 6

Slide 6 text

System ARAKIS ­ rosnąca liczba ataków na systemy komputerowe ­ coraz więcej danych przechowywanych na serwerach ­ coraz ważniejsze wczesne wykrywanie ­ lepsze przygotowanie == większa szansa na obronę

Slide 7

Slide 7 text

System ARAKIS ­ ARAKIS działa w oparciu o monitorowanie sieci podstawowa funkcjonalność: ­ informowanie o nowych zagrożeniach ­ opis zagrożeń w formie sygnatur ­ analiza trendów związanych z zagrożeniami ­ korelacja informacji z różnych źródeł i instytucji CEL: zwiększenie kompetencji i wiedzy w zakresie zagrożeń sieciowych i polepszanie trafności wyboru środków ochrony.

Slide 8

Slide 8 text

System ARAKIS Gromadzone informacje przydatne również do: ­ identyfikacji źródeł ­ grupowanie źródeł ataku ­ wspomaganie analizy powłamaniowej ­ wykrywanie zautomatyzowane, możliwość analizy przez operatora

Slide 9

Slide 9 text

Mechanizm ataku sieciowego Cykl życia luki: ­ publikacja (informacje o podatności) ­ exploit (informacja o zagrożeniu) ­ wykorzystanie w atakach (informacja o incydentach) ­ samopropagujący się kod Zagrożenie – narzędzie umożliwiające wykorzystanie podatności. Incydent – użycie narzędzia.

Slide 10

Slide 10 text

Mechanizm ataku sieciowego Zagrożenia exploit robak Incydenty sygnały wykorzystania Podatności

Slide 11

Slide 11 text

Mechanizm ataku sieciowego Coraz częściej sytuacja odwrotna! ­ sygnały o włamaniach ­ wyizolowanie wektora ataku ­ rozpoznanie i publikacji informacji o luce Wykrywanie scenariusza 2 – podstawowe zadanie ARAKIS

Slide 12

Slide 12 text

Informacje o podatnościach Rodzaje ataków: ­ DoS (Denial of Service) ­ ujawnienie informacji (information disclosure) ­ zdalne wykonanie kodu Poziom zagrożenia

Slide 13

Slide 13 text

Informacje o podatnościach ­ znajomość podatności umożliwia przewidzenie charakteru wykorzystania: ­ skuteczność zdalnego dostępu ­ szybkość propagacji (TCP vs UDP, Slammer) ­ narażone usługi (numery portów) ­ Administratorzy są zbyt wolni (dni!)

Slide 14

Slide 14 text

Informacje o zagrożeniach ­ drugi sygnał ostrzegawczy: opublikowanie exploita ­ wiąże się z rozpoczęciem wykorzystywania ­ ostatnia szansa na reakcję administratorów ­ kolejny sygnał: robak lub wirus

Slide 15

Slide 15 text

Informacje o incydentach ­ informacja o włamaniu ­ zapis z systemu IDS (Intrusion Detection System) ­ e­mail z dziwnym załącznikiem ­ przypadek phisingu ­ pozwala określić fazę zaawansowania wykorzystywania luki, także wykrywać nowe

Slide 16

Slide 16 text

­ monitorowanie sieci rozległych ­ źródło danych: sondy działające w sieciach uczestników ­ instytucje mają dostęp do baz informacji powstałych w wyniku agregacji ­ typowe źródła: honeypoty, systemy firewall, pocztowe systemy antywirusowe ARAKIS – źródła danych

Slide 17

Slide 17 text

ARAKIS – źródła danych

Slide 18

Slide 18 text

­ nie powinny rejestrować ruchu ­ idealnie wykrywają skanowanie ­ systemy firewall odrzucają niepożądany ruch – z definicji podejrzany ­ honeypoty w pełni otwarte ­ łatwe w instalacji – wystarczy wydzielenie zakresu IP i połączenie z sondą Źródła danych - honeypoty

Slide 19

Slide 19 text

­ lista portów docelowych TCP/IP na których odnotowano godny uwagi ruch ­ o kolejności w rankingu decyduje trend ­ dla każdego źródła danych osobny ranking ­ ranking tworzony co 5 minut na podstawie obserwowanych przez sondy przepływów Źródła danych – rankingi

Slide 20

Slide 20 text

­ wartość trendu obliczana z porównania średniej wartości ruchu w stosunku do średniej ważone kroczącej za okres dłuższy ­ wpływa też waga sondy, zależna od wielkości monitorowanej sieci i jakości generowanych danych ­ rankingi nie rozróżniają skanowania od ataku Źródła danych – rankingi

Slide 21

Slide 21 text

­ Źródła danych – rankingi

Slide 22

Slide 22 text

­ ­ Źródła danych – rankingi

Slide 23

Slide 23 text

­ oparte na otwartym programie snort ­ bazuje na znanych sygnaturach (scenariusz 1) ­ wzorce zbierane przez uczestników z całego świata ­ można wykrywać tylko znane zagrożenia Identyfikacja znanych zagrożeń

Slide 24

Slide 24 text

­ najbardziej wartościowe ­ jednocześnie najbardziej złożone ­ efektem rozpoznania jest sygnatura Rozpoznawanie nowych zagrożeń

Slide 25

Slide 25 text

­ pierwszy krok: wykrycie anomalii w ruchu sieciowym ­ sklasyfikowanie anomalii jako atak ­ ważna jest nowość oraz powtarzalność ­ jeśli atak – analiza off­line (algorytmy bardziej skomplikowane) ­ wytworzona sygnatura jest weryfikowana ­ proces w połowie zautomatyzowany Rozpoznawanie nowych zagrożeń

Slide 26

Slide 26 text

Wytworzenie sygnatury: ­ funkcja mieszająca MD5 % echo Zupa grzybowa | md5sum 06461641a665c06d41fbc8db7bc1f8ab % echo Zupa Grzybowa | md5sum 1094b66e42e0c1922a289c0527490e74 ­ nie nadaje się do wykrywania wariantów ataku Rozpoznawanie nowych zagrożeń

Slide 27

Slide 27 text

Wytworzenie sygnatury: ­ mechanizm przesuwnego okna ­ wytworzenie wielu odcisków ­ porównanie pomiędzy pakietami ­ przekroczenie progu – alarm ­ duża liczba odcisków – wymaga dużo mocy obliczeniowej Rozpoznawanie nowych zagrożeń

Slide 28

Slide 28 text

­ zastąpienie funkcji kryptograficznych algorytmem Rabina­Karpa ­ bardzo szybkie ­ można wykorzystać poprzednie obliczenia przy jednobajtowym przesunięciu ­ dalsze przyspieszenie – zastosowanie maski Rozpoznawanie nowych zagrożeń

Slide 29

Slide 29 text

­ maska powoduje spadek dokładności ­ prawdopodobieństwo wykrycia zagrożenia o długości okna b wynosi 0,5k ­ przy długości x, prawd. 1­e­f(x­b+1), f = 0,5k ­ przykładowo: maska 4 bity, okno 32 bity, zagrożenie 100 bitów; pr. wykrycia: 98,66% Rozpoznawanie nowych zagrożeń

Slide 30

Slide 30 text

­ bazy whois RIPE, ARIN, APNIC, LACNIC ­ tablice BGP z routeviews.org ­ przechowywane lokalnie ­ periodycznie uaktualniane ­ rozpoznanie systemu operacyjnego ­ p0f Prezentacja zagrożeń

Slide 31

Slide 31 text

­ ARAKIS wchodzi w fazę dojrzałą ­ zaimplementowane: sondy, Centrum, protokoły komunikacyjne ­ działająca korelacja ­ zadowalający poziom poufności ­ oczekiwana poprawa: jakość sygnatur, korelacja, wykrwanie ataków polimorficznych Podsumowanie

Slide 32

Slide 32 text

Dziękuję za uwagę.