System ARAKIS

Transcript

1. System ARAKIS Seminarium Niezawodność Sieci Teleinformatycznych Tomasz Torcz, STI Gdańsk,

   24.10.2006

2. System ARAKIS Seminarium Niezawodność Sieci Teleinformatycznych Tomasz Torcz, STI Gdańsk,

   24.10.2006

3. System ARAKIS - szkic historii - anatomia zagrożenia - zbieranie

   danych - ocena danych - wykrywanie zagrożeń

4. System ARAKIS ­ Agregacja, Analiza i Klasyfikacja Incydentów Sieciowych ­

   stworzony przez polski CERT ­ RFC 2350 (Expectations for Computer Security Incident Response)
5. None

6. System ARAKIS ­ rosnąca liczba ataków na systemy komputerowe ­

   coraz więcej danych przechowywanych na serwerach ­ coraz ważniejsze wczesne wykrywanie ­ lepsze przygotowanie == większa szansa na obronę

7. System ARAKIS ­ ARAKIS działa w oparciu o monitorowanie sieci

   podstawowa funkcjonalność: ­ informowanie o nowych zagrożeniach ­ opis zagrożeń w formie sygnatur ­ analiza trendów związanych z zagrożeniami ­ korelacja informacji z różnych źródeł i instytucji CEL: zwiększenie kompetencji i wiedzy w zakresie zagrożeń sieciowych i polepszanie trafności wyboru środków ochrony.

8. System ARAKIS Gromadzone informacje przydatne również do: ­ identyfikacji źródeł

   ­ grupowanie źródeł ataku ­ wspomaganie analizy powłamaniowej ­ wykrywanie zautomatyzowane, możliwość analizy przez operatora

9. Mechanizm ataku sieciowego Cykl życia luki: ­ publikacja (informacje o

   podatności) ­ exploit (informacja o zagrożeniu) ­ wykorzystanie w atakach (informacja o incydentach) ­ samopropagujący się kod Zagrożenie – narzędzie umożliwiające wykorzystanie podatności. Incydent – użycie narzędzia.

10. Mechanizm ataku sieciowego Zagrożenia exploit robak Incydenty sygnały wykorzystania Podatności

11. Mechanizm ataku sieciowego Coraz częściej sytuacja odwrotna! ­ sygnały o

    włamaniach ­ wyizolowanie wektora ataku ­ rozpoznanie i publikacji informacji o luce Wykrywanie scenariusza 2 – podstawowe zadanie ARAKIS

12. Informacje o podatnościach Rodzaje ataków: ­ DoS (Denial of Service)

    ­ ujawnienie informacji (information disclosure) ­ zdalne wykonanie kodu Poziom zagrożenia

13. Informacje o podatnościach ­ znajomość podatności umożliwia przewidzenie charakteru wykorzystania:

    ­ skuteczność zdalnego dostępu ­ szybkość propagacji (TCP vs UDP, Slammer) ­ narażone usługi (numery portów) ­ Administratorzy są zbyt wolni (dni!)

14. Informacje o zagrożeniach ­ drugi sygnał ostrzegawczy: opublikowanie exploita ­

    wiąże się z rozpoczęciem wykorzystywania ­ ostatnia szansa na reakcję administratorów ­ kolejny sygnał: robak lub wirus

15. Informacje o incydentach ­ informacja o włamaniu ­ zapis z

    systemu IDS (Intrusion Detection System) ­ e­mail z dziwnym załącznikiem ­ przypadek phisingu ­ pozwala określić fazę zaawansowania wykorzystywania luki, także wykrywać nowe

16. ­ monitorowanie sieci rozległych ­ źródło danych: sondy działające w

    sieciach uczestników ­ instytucje mają dostęp do baz informacji powstałych w wyniku agregacji ­ typowe źródła: honeypoty, systemy firewall, pocztowe systemy antywirusowe ARAKIS – źródła danych

17. ARAKIS – źródła danych

18. ­ nie powinny rejestrować ruchu ­ idealnie wykrywają skanowanie ­

    systemy firewall odrzucają niepożądany ruch – z definicji podejrzany ­ honeypoty w pełni otwarte ­ łatwe w instalacji – wystarczy wydzielenie zakresu IP i połączenie z sondą Źródła danych - honeypoty

19. ­ lista portów docelowych TCP/IP na których odnotowano godny uwagi

    ruch ­ o kolejności w rankingu decyduje trend ­ dla każdego źródła danych osobny ranking ­ ranking tworzony co 5 minut na podstawie obserwowanych przez sondy przepływów Źródła danych – rankingi

20. ­ wartość trendu obliczana z porównania średniej wartości ruchu w

    stosunku do średniej ważone kroczącej za okres dłuższy ­ wpływa też waga sondy, zależna od wielkości monitorowanej sieci i jakości generowanych danych ­ rankingi nie rozróżniają skanowania od ataku Źródła danych – rankingi

21. ­ Źródła danych – rankingi

22. ­ ­ Źródła danych – rankingi

23. ­ oparte na otwartym programie snort ­ bazuje na znanych

    sygnaturach (scenariusz 1) ­ wzorce zbierane przez uczestników z całego świata ­ można wykrywać tylko znane zagrożenia Identyfikacja znanych zagrożeń

24. ­ najbardziej wartościowe ­ jednocześnie najbardziej złożone ­ efektem rozpoznania

    jest sygnatura Rozpoznawanie nowych zagrożeń

25. ­ pierwszy krok: wykrycie anomalii w ruchu sieciowym ­ sklasyfikowanie

    anomalii jako atak ­ ważna jest nowość oraz powtarzalność ­ jeśli atak – analiza off­line (algorytmy bardziej skomplikowane) ­ wytworzona sygnatura jest weryfikowana ­ proces w połowie zautomatyzowany Rozpoznawanie nowych zagrożeń

26. Wytworzenie sygnatury: ­ funkcja mieszająca MD5 % echo Zupa grzybowa

    | md5sum 06461641a665c06d41fbc8db7bc1f8ab % echo Zupa Grzybowa | md5sum 1094b66e42e0c1922a289c0527490e74 ­ nie nadaje się do wykrywania wariantów ataku Rozpoznawanie nowych zagrożeń

27. Wytworzenie sygnatury: ­ mechanizm przesuwnego okna ­ wytworzenie wielu odcisków

    ­ porównanie pomiędzy pakietami ­ przekroczenie progu – alarm ­ duża liczba odcisków – wymaga dużo mocy obliczeniowej Rozpoznawanie nowych zagrożeń

28. ­ zastąpienie funkcji kryptograficznych algorytmem Rabina­Karpa ­ bardzo szybkie ­

    można wykorzystać poprzednie obliczenia przy jednobajtowym przesunięciu ­ dalsze przyspieszenie – zastosowanie maski Rozpoznawanie nowych zagrożeń

29. ­ maska powoduje spadek dokładności ­ prawdopodobieństwo wykrycia zagrożenia o

    długości okna b wynosi 0,5k ­ przy długości x, prawd. 1­e­f(x­b+1), f = 0,5k ­ przykładowo: maska 4 bity, okno 32 bity, zagrożenie 100 bitów; pr. wykrycia: 98,66% Rozpoznawanie nowych zagrożeń

30. ­ bazy whois RIPE, ARIN, APNIC, LACNIC ­ tablice BGP

    z routeviews.org ­ przechowywane lokalnie ­ periodycznie uaktualniane ­ rozpoznanie systemu operacyjnego ­ p0f Prezentacja zagrożeń

31. ­ ARAKIS wchodzi w fazę dojrzałą ­ zaimplementowane: sondy, Centrum,

    protokoły komunikacyjne ­ działająca korelacja ­ zadowalający poziom poufności ­ oczekiwana poprawa: jakość sygnatur, korelacja, wykrwanie ataków polimorficznych Podsumowanie

32. Dziękuję za uwagę.