Upgrade to Pro — share decks privately, control downloads, hide ads and more …

System ARAKIS

9b91521dd3d020edb72521181aa32c9f?s=47 Tomasz
October 24, 2006

System ARAKIS

Seminarium z przedmiotu Niezawodność Sieci Teleinformatycznych.

9b91521dd3d020edb72521181aa32c9f?s=128

Tomasz

October 24, 2006
Tweet

Transcript

  1. System ARAKIS Seminarium Niezawodność Sieci Teleinformatycznych Tomasz Torcz, STI Gdańsk,

    24.10.2006
  2. System ARAKIS Seminarium Niezawodność Sieci Teleinformatycznych Tomasz Torcz, STI Gdańsk,

    24.10.2006
  3. System ARAKIS - szkic historii - anatomia zagrożenia - zbieranie

    danych - ocena danych - wykrywanie zagrożeń
  4. System ARAKIS ­ Agregacja, Analiza i Klasyfikacja Incydentów Sieciowych ­

    stworzony przez polski CERT ­ RFC 2350 (Expectations for Computer Security Incident Response)
  5. None
  6. System ARAKIS ­ rosnąca liczba ataków na systemy komputerowe ­

    coraz więcej danych przechowywanych na serwerach ­ coraz ważniejsze wczesne wykrywanie ­ lepsze przygotowanie == większa szansa na obronę
  7. System ARAKIS ­ ARAKIS działa w oparciu o monitorowanie sieci

    podstawowa funkcjonalność: ­ informowanie o nowych zagrożeniach ­ opis zagrożeń w formie sygnatur ­ analiza trendów związanych z zagrożeniami ­ korelacja informacji z różnych źródeł i instytucji CEL: zwiększenie kompetencji i wiedzy w zakresie zagrożeń sieciowych i polepszanie trafności wyboru środków ochrony.
  8. System ARAKIS Gromadzone informacje przydatne również do: ­ identyfikacji źródeł

    ­ grupowanie źródeł ataku ­ wspomaganie analizy powłamaniowej ­ wykrywanie zautomatyzowane, możliwość analizy przez operatora
  9. Mechanizm ataku sieciowego Cykl życia luki: ­ publikacja (informacje o

    podatności) ­ exploit (informacja o zagrożeniu) ­ wykorzystanie w atakach (informacja o incydentach) ­ samopropagujący się kod Zagrożenie – narzędzie umożliwiające wykorzystanie podatności. Incydent – użycie narzędzia.
  10. Mechanizm ataku sieciowego Zagrożenia exploit robak Incydenty sygnały wykorzystania Podatności

  11. Mechanizm ataku sieciowego Coraz częściej sytuacja odwrotna! ­ sygnały o

    włamaniach ­ wyizolowanie wektora ataku ­ rozpoznanie i publikacji informacji o luce Wykrywanie scenariusza 2 – podstawowe zadanie ARAKIS
  12. Informacje o podatnościach Rodzaje ataków: ­ DoS (Denial of Service)

    ­ ujawnienie informacji (information disclosure) ­ zdalne wykonanie kodu Poziom zagrożenia
  13. Informacje o podatnościach ­ znajomość podatności umożliwia przewidzenie charakteru wykorzystania:

    ­ skuteczność zdalnego dostępu ­ szybkość propagacji (TCP vs UDP, Slammer) ­ narażone usługi (numery portów) ­ Administratorzy są zbyt wolni (dni!)
  14. Informacje o zagrożeniach ­ drugi sygnał ostrzegawczy: opublikowanie exploita ­

    wiąże się z rozpoczęciem wykorzystywania ­ ostatnia szansa na reakcję administratorów ­ kolejny sygnał: robak lub wirus
  15. Informacje o incydentach ­ informacja o włamaniu ­ zapis z

    systemu IDS (Intrusion Detection System) ­ e­mail z dziwnym załącznikiem ­ przypadek phisingu ­ pozwala określić fazę zaawansowania wykorzystywania luki, także wykrywać nowe
  16. ­ monitorowanie sieci rozległych ­ źródło danych: sondy działające w

    sieciach uczestników ­ instytucje mają dostęp do baz informacji powstałych w wyniku agregacji ­ typowe źródła: honeypoty, systemy firewall, pocztowe systemy antywirusowe ARAKIS – źródła danych
  17. ARAKIS – źródła danych

  18. ­ nie powinny rejestrować ruchu ­ idealnie wykrywają skanowanie ­

    systemy firewall odrzucają niepożądany ruch – z definicji podejrzany ­ honeypoty w pełni otwarte ­ łatwe w instalacji – wystarczy wydzielenie zakresu IP i połączenie z sondą Źródła danych - honeypoty
  19. ­ lista portów docelowych TCP/IP na których odnotowano godny uwagi

    ruch ­ o kolejności w rankingu decyduje trend ­ dla każdego źródła danych osobny ranking ­ ranking tworzony co 5 minut na podstawie obserwowanych przez sondy przepływów Źródła danych – rankingi
  20. ­ wartość trendu obliczana z porównania średniej wartości ruchu w

    stosunku do średniej ważone kroczącej za okres dłuższy ­ wpływa też waga sondy, zależna od wielkości monitorowanej sieci i jakości generowanych danych ­ rankingi nie rozróżniają skanowania od ataku Źródła danych – rankingi
  21. ­ Źródła danych – rankingi

  22. ­ ­ Źródła danych – rankingi

  23. ­ oparte na otwartym programie snort ­ bazuje na znanych

    sygnaturach (scenariusz 1) ­ wzorce zbierane przez uczestników z całego świata ­ można wykrywać tylko znane zagrożenia Identyfikacja znanych zagrożeń
  24. ­ najbardziej wartościowe ­ jednocześnie najbardziej złożone ­ efektem rozpoznania

    jest sygnatura Rozpoznawanie nowych zagrożeń
  25. ­ pierwszy krok: wykrycie anomalii w ruchu sieciowym ­ sklasyfikowanie

    anomalii jako atak ­ ważna jest nowość oraz powtarzalność ­ jeśli atak – analiza off­line (algorytmy bardziej skomplikowane) ­ wytworzona sygnatura jest weryfikowana ­ proces w połowie zautomatyzowany Rozpoznawanie nowych zagrożeń
  26. Wytworzenie sygnatury: ­ funkcja mieszająca MD5 % echo Zupa grzybowa

    | md5sum 06461641a665c06d41fbc8db7bc1f8ab % echo Zupa Grzybowa | md5sum 1094b66e42e0c1922a289c0527490e74 ­ nie nadaje się do wykrywania wariantów ataku Rozpoznawanie nowych zagrożeń
  27. Wytworzenie sygnatury: ­ mechanizm przesuwnego okna ­ wytworzenie wielu odcisków

    ­ porównanie pomiędzy pakietami ­ przekroczenie progu – alarm ­ duża liczba odcisków – wymaga dużo mocy obliczeniowej Rozpoznawanie nowych zagrożeń
  28. ­ zastąpienie funkcji kryptograficznych algorytmem Rabina­Karpa ­ bardzo szybkie ­

    można wykorzystać poprzednie obliczenia przy jednobajtowym przesunięciu ­ dalsze przyspieszenie – zastosowanie maski Rozpoznawanie nowych zagrożeń
  29. ­ maska powoduje spadek dokładności ­ prawdopodobieństwo wykrycia zagrożenia o

    długości okna b wynosi 0,5k ­ przy długości x, prawd. 1­e­f(x­b+1), f = 0,5k ­ przykładowo: maska 4 bity, okno 32 bity, zagrożenie 100 bitów; pr. wykrycia: 98,66% Rozpoznawanie nowych zagrożeń
  30. ­ bazy whois RIPE, ARIN, APNIC, LACNIC ­ tablice BGP

    z routeviews.org ­ przechowywane lokalnie ­ periodycznie uaktualniane ­ rozpoznanie systemu operacyjnego ­ p0f Prezentacja zagrożeń
  31. ­ ARAKIS wchodzi w fazę dojrzałą ­ zaimplementowane: sondy, Centrum,

    protokoły komunikacyjne ­ działająca korelacja ­ zadowalający poziom poufności ­ oczekiwana poprawa: jakość sygnatur, korelacja, wykrwanie ataków polimorficznych Podsumowanie
  32. Dziękuję za uwagę.