Βασικές έννοιες Γεγονός (event) σε ένα υπολογιστικό σύστηµα ή δίκτυο: οτιδήποτε µπορεί να συµβεί σε αυτό, π.χ. η είσοδος ενός χρήστη, η εκτέλεση ενός προγράµµατος, κλπ. ιαδικασίες παρακολούθησης δραστηριότητας (audit trails): καταγράφουν τα γεγονότα τόσο του λειτουργικού συστήµατος όσο και των εφαρµογών Αρχεία καταγραφής δραστηριότητας (audit logs): τα αρχεία στα οποία καταγράφεται η δραστηριότητα του συστήµατος Παρακολούθηση ραστηριότητας Συστήµατος 1
Ιδιότητες Η καταγραφή της δραστηριότητας µπορεί να περιοριστεί µόνο σε αντικείµενα του συστήµατος στα οποία υπάρχουν περιορισµοί πρόσβασης Μπορούν να χρησιµοποιηθούν ώστε να ειδοποιούν σε περίπτωση πιθανής επίθεσης Μπορούν να χρησιµοποιηθούν διάφορα επίπεδα παρακολούθησης δραστηριότητας: υπολογιστικού συστήµατος (computer level auditing) καταλόγων συστήµατος (directory level auditing) αντικειµένων (object - level auditing), π.χ. αρχείων Μετά από κάποια επίθεση µπορούν να χρησιµοποιηθούν ώστε να δείξουν ποιος προκάλεσε καταστροφή ή επιχείρησε µη εξουσιοδοτηµένη πρόσβαση Παρακολούθηση ραστηριότητας Συστήµατος 2
Πλεονεκτήµατα Ανάθεση ευθύνης σε χρήστες Ανασύνθεση ακολουθίας γεγονότων Ανίχνευση εισβολής Ανάλυση προβληµάτων Μειονεκτήµατα εν καταγράφονται δραστηριότητες IP spoofing εν καταγράφονται δραστηριότητες sniffing Παρακολούθηση ραστηριότητας Συστήµατος 3
Παρακολούθηση Γεγονότων (Audit Events) Παρακολούθηση Γεγονότων σε Επίπεδο Συστήµατος: έλεγχος των προσπαθειών για µεταβολή των αρχείων διαµόρφωσης και των αρχείων που καθορίζουν τους κανόνες χρήσης του λειτουργικού συστήµατος. Παράδειγµα: Jan 27 17:14:04 host1 login: ROOT LOGIN console Jan 27 17:15:04 host1 shutdown: reboot by root Jan 27 17:18:38 host1 login: ROOT LOGIN console Jan 27 17:19:37 host1 reboot: rebooted by root Jan 28 09:46:53 host1 su: 'su root' succeeded for user1 on /dev/ttyp0 Jan 28 09:47:35 host1 shutdown: reboot by user1 Jan 28 09:53:24 host1 su: 'su root' succeeded for user1 on /dev/ttyp1 Feb 12 08:53:22 host1 su: 'su root' succeeded for user1 on /dev/ttyp1 Feb 17 08:57:50 host1 date: set by user1 Feb 17 13:22:52 host1 su: 'su root' succeeded for user1 on /dev/ttyp0 Παρακολούθηση ραστηριότητας Συστήµατος 4
Παρακολούθηση Γεγονότων (Audit Events) Παρακολούθηση Γεγονότων σε Επίπεδο Εφαρµογών : παρακολούθηση γεγονότων που πραγµατοποιούνται µέσω συγκεκριµένων εφαρµογών (π.χ. αλλαγές σε ευαίσθητη πληροφορία). Παράδειγµα: Apr 9 11:20:22 host1 AA06370: from=<user2@host2>, size=3355, class=0 Apr 9 11:20:23 host1 AA06370: to=<user1@host1>, delay=00:00:02,stat=sent Apr 9 11:59:51 host1 AA06436: from=<user4@host3>, size=1424, class=0 Apr 9 11:59:52 host1 AA06436: to=<user1@host1>, delay=00:00:02,stat=sent Apr 9 12:43:52 host1 AA06441: from=<user2@host2>, size=2077, class=0 Apr 9 12:43:53 host1 AA06441: to=<user1@host1>, delay=00:00:01,stat=sent Παρακολούθηση ραστηριότητας Συστήµατος 5
Παρακολούθηση Γεγονότων (Audit Events) Παρακολούθηση Γεγονότων σε Επίπεδο Χρήστη : καταγραφή όλων των γεγονότων που προκαλούνται από το χρήστη µέσω λειτουργικού συστήµατος ή εφαρµογών. Παράδειγµα: rcp user1 ttyp0 0.02 secs Fri Apr 8 16:02 ls user1 ttyp0 0.14 secs Fri Apr 8 16:01 clear user1 ttyp0 0.05 secs Fri Apr 8 16:01 rpcinfo user1 ttyp0 0.20 secs Fri Apr 8 16:01 nroff user2 ttyp2 0.75 secs Fri Apr 8 16:00 sh user2 ttyp2 0.02 secs Fri Apr 8 16:00 mv user2 ttyp2 0.02 secs Fri Apr 8 16:00 sh user2 ttyp2 0.03 secs Fri Apr 8 16:00 col user2 ttyp2 0.09 secs Fri Apr 8 16:00 man user2 ttyp2 0.14 secs Fri Apr 8 15:57 Παρακολούθηση ραστηριότητας Συστήµατος 6
Παρακολούθηση Γεγονότων (Audit Events) Παρακολούθηση πληκτρολογίου : καταγραφή όλων των πλήκτρων που πατάει ο χρήστης (µόνο για συστήµατα πολύ υψηλής ασφάλειας) Παρακολούθηση φυσικής πρόσβασης: έλεγχος φυσικής πρόσβασης σε χώρους µε χρήση µαγνητικών ή έξυπνων καρτών µε ενηµέρωση των αρχείων δραστηριότητας µέσω κατάλληλου λογισµικού Παρακολούθηση ραστηριότητας Συστήµατος 7
Προστασία αρχείων δραστηριότητας Πρόσβαση στα αρχεία δραστηριότητας πρέπει να παρέχεται µόνο στο υπεύθυνο προσωπικό Προστασία από µη εξουσιοδοτηµένη πρόσβαση µε τεχνικές που παρέχουν υψηλό βαθµό ασφάλειας (π.χ. κρυπτογράφηση) ιασφάλιση ακεραιότητας αρχείων π.χ. χρήση ψηφιακών υπογραφών Παρακολούθηση ραστηριότητας Συστήµατος 8
Εργαλεία για την ανάλυση της δραστηριότητας του συστήµατος Εργαλεία προ-επεξεργασίας για την µείωση της ποσότητας της πληροφορίας µε αφαίρεση των εγγραφών που αντιστοιχούν σε φυσιολογική δραστηριότητα του συστήµατος Εργαλεία εντοπισµού ανωµαλιών στη συµπεριφορά χρηστών Εργαλεία εντοπισµού ακολουθίας γεγονότων που αποτελούν ενδείξεις εισβολής Παρακολούθηση ραστηριότητας Συστήµατος 9
Παρακολούθηση δραστηριότητας στο UNIX αρχείο lastlog: καταγράφει την τελευταία φορά που κάποιος χρήστης εισήχθη στο σύστηµα και από ποιο τερµατικό αρχείο utmp: καταγράφει τους χρήστες που βρίσκονται συνδεδεµένοι στο σύστηµα την τρέχουσα χρονική στιγµή (κατασκευάζει µια εγγραφή κατά την είσοδο του χρήστη και τη σβήνει κατά την έξοδό του) δεν διατηρεί ιστορία εισόδων στο σύστηµα είναι απλό αρχείο κειµένου ένας µη εξουσιοδοτηµένος χρήστης µπορεί να µεταβάλει τις εγγραφές του σβήνοντας το ίχνος του Παρακολούθηση ραστηριότητας Συστήµατος 10
αρχείο wtmp: Παρακολούθηση δραστηριότητας στο UNIX παρόµοιο µε το utmp αρχείο διατηρεί ιστορία εισόδων στο σύστηµα µε την εντολή last x µπορούµε να προσπελάσουµε τις x τελευταίες εγγραφές του αρχείου µε την εντολή ac µπορούµε να δούµε τον ολικό χρόνο παραµονής των χρηστών στο σύστηµα Παρακολούθηση ραστηριότητας Συστήµατος 11
Παρακολούθηση δραστηριότητας στο UNIX syslog: καταγραφή µηνυµάτων που δηµιουργούνται σαν απάντηση σε εντολές από διάφορα προγράµµατα Εντολές προέρχονται από τρέχουσες διαδικασίες, τον πυρήνα του λειτουργικού συστήµατος ή από άλλους υπολογιστές Η κατεύθυνση του µηνύµατος βρίσκεται από ένα αρχείο διαµόρφωσης (configuration file) syslog.conf Το αρχείο syslog.conf περιέχει την εφαρµογή που µπορεί να προκαλέσει τη δηµιουργία τέτοιου µηνύµατος, την ενέργεια που πρέπει να γίνει και την κατεύθυνση προορισµού του µηνύµατος Παρακολούθηση ραστηριότητας Συστήµατος 12
Παρακολούθηση δραστηριότητας στο UNIX αρχείο sulog: καταγράφει όλες τις προσπάθειες εισόδου στο σύστηµα µε προνόµια διαχειριστή µέσω της εντολής su αρχείο aculog: καταγράφει τις δραστηριότητες χρηστών που σχετίζονται µε dial-out εφαρµογές. εφαρµογή cron: για εκτέλεση αρχείων ή προγραµµάτων σε συγκεκριµένες ώρες αρχείο sendmail: καταγράφει όλες τις προσπάθειες χρηστών για αποστολή e-mail αρχείο history: καταγράφει τις εντολές που εκτελέστηκαν από το shell (κέλυφος) κάποιου χρήστη και είναι προσωπικό για κάθε χρήστη ξεχωριστά Παρακολούθηση ραστηριότητας Συστήµατος 13
Εργαλεία ανίχνευσης τρωτών σηµείων SATAN (Security Analysis Tool for Auditing Networks) συλλέγει πληροφορίες για την αρχιτεκτονική και τις διαθέσιµες υπηρεσίες ενός δικτύου ελέγχει την ύπαρξη τρωτών σηµείων στη διαµόρφωση του συστήµατος και για θεµελιώδεις κανόνες ασφάλειας που δεν υλοποιούνται επιτρέπει την αξιολόγηση διαφόρων µέτρων για την ασφάλεια του δικτύου ISS (Internet Security Scanner) ειδοποιεί για προβλήµατα ασφάλειας στη διαµόρφωση του συστήµατος ελέγχει για προβλήµατα µε το πρόγραµµα sendmail, στη διαµόρφωση του NFS, σε κωδικούς πρόσβασης, κλπ. Παρακολούθηση ραστηριότητας Συστήµατος 14
Εργαλεία ανίχνευσης τρωτών σηµείων TAMU (Texas A&M Network Security Package) φιλτράρει πακέτα (εφαρµογή drawbridge) ανιχνεύει για γνωστά προβλήµατα ασφάλειας (εφαρµογή tiger) παρακολουθεί τη δραστηριότητα του δικτύου δεδοµένων και ειδοποιεί για πιθανή εισβολή (εφαρµογή netlog) COPS (Computer Oracle and Password System) επιπλέον των άλλων περιλαµβάνει ένα έµπειρο σύστηµα (expert-system) που ελέγχει αν ο λογαριασµός συγκεκριµένου χρήστη µπορεί να παραβιαστεί υπό κάποιες συνθήκες Παρακολούθηση ραστηριότητας Συστήµατος 15
Εργαλεία παρακολούθησης & ανάλυσης αρχείων δραστηριότητας Stalker αναλύει τα αρχεία δραστηριότητας και αναφέρει σε περίπτωση ύποπτου χρήση ή ύποπτης δραστηριότητας προεπεξεργάζεται τα δεδοµένα των αρχείων δραστηριότητας και κρατά µόνο τις χρήσιµες πληροφορίες WatchDog αναλύει τα αρχεία δραστηριότητας και αναφέρει σε περίπτωση ύποπτου χρήση ή ύποπτης δραστηριότητας υποστηρίζει και τη δυνατότητα παρακολούθησης και ειδοποίησης σε πραγµατικό χρόνο Παρακολούθηση ραστηριότητας Συστήµατος 16
Εργαλεία παρακολούθησης & ανάλυσης αρχείων δραστηριότητας Swatch αναλύει τα αρχεία δραστηριότητας και αναφέρει σε περίπτωση ύποπτου χρήστη ή ύποπτης δραστηριότητας προεπεξεργάζεται τα δεδοµένα των αρχείων δραστηριότητας και κρατά µόνο τις χρήσιµες πληροφορίες υποστηρίζει και τη δυνατότητα παρακολούθησης και ειδοποίησης σε πραγµατικό χρόνο logsufrer: παρόµοιο µε το Swatch ALVA (Audit Log Viewer and Analyzer): εκτός των άλλων, διατηρεί ποινολόγιο για κάθε χρήστη και ειδοποιεί σε περίπτωση παραβίασης των ορίων ποινών από κάποιο χρήστη. Παρακολούθηση ραστηριότητας Συστήµατος 17
Εργαλεία παρακολούθησης & ανάλυσης αρχείων δραστηριότητας Computer Watch: παρόµοιο µε το Swatch argus: εκτός των άλλων, παρέχει εργαλεία ανάλυσης της απόδοσης και της διαχείρισης του δικτύου Intelligent Auditing and Categorizing system: παρακολουθεί και αναφέρει µεταβολές στο σύστηµα αρχείων Abacus Sentry: ελέγχει και εντοπίζει σε πραγµατικό χρόνο για τη λειτουργία προγραµµάτων που παρακολουθούν τις θύρες επικοινωνίας (ports) WebStalker Pro: εντοπίζει προσπάθειες µη εξουσιοδοτηµένης µεταβολής στα αρχεία ενός WWW server. Παρακολούθηση ραστηριότητας Συστήµατος 18
Εργαλεία ανίχνευσης εισβολής IDES/NIDES (Intrusion Detection Expert System/Next Generation IDES) παρέχει ειδοποίηση εισβολής σε πραγµατικό χρόνο µαθαίνει την κανονική συµπεριφορά χρηστών, οµάδων, κλπ. όταν υπάρχει απόκλιση µεγάλη από την κανονική συµπεριφορά, τότε θεωρεί ότι υπάρχει κίνδυνος παραβίασης και ειδοποιεί CSM (Cooperating Security Manager): χρησιµοποιεί κατανεµηµένους ανιχνευτές ύποπτης δραστηριότητας, οι οποίοι συνεργάζονται σε πραγµατικό χρόνο Παρακολούθηση ραστηριότητας Συστήµατος 19
Εργαλεία ανίχνευσης εισβολής AID (Adaptive Intrusion Detection): χρησιµοποιεί αρχιτεκτονική πελάτη εξυπηρετητή οι πελάτες (clients) επεξεργάζονται τα περιεχόµενα των αρχείων δραστηριότητας και τα στέλνουν στον εξυπηρετητή ο εξυπηρετητής χρησιµοποιεί ένα έµπειρο σύστηµα για την επεξεργασία των αρχείων αυτών και αναφέρει σχετικά NADIR (Network Anomaly Detection and Intrusion Reporter): συνδυάζει την αρχιτεκτονική του AID µε τη λειτουργία του IDES/NIDES Παρακολούθηση ραστηριότητας Συστήµατος 20
Βιβλιογραφία Hacker Proof, Lars Klander, Jamsa Press, 1997 Παρακολούθηση ραστηριότητας Συστήµατος 21