Αντιµετώπιση εισβολών σε δίκτυα υπολογιστών Η πλατφόρµα HELENA Βαλεοντής Ευτύχιος Μηχανικός Η/Υ, MSc Τοµέας Ασφάλειας / ΕΑΙΤΥ
Ο «εισβολέας»
Network Intrusion 1/2 An intrusion, also known as a system compromise, is any security incident that involves taking control of a computer system from the owner and/or authorized administrator of the computer unauthorized act of bypassing the security mechanisms of a system unwanted attempts at accessing, manipulating, and/or disabling of computer systems
Network Intrusion 2/2
Intrusion Detection Systems Τι δεν είναι IDS; Πανάκεια Τείχος προστασίας ( Firewall ) Antivirus Τι είναι τα IDS; Μηχανισµός ανίχνευσης εισβολών Μηχανισµός παρακολούθησης δικτυακής κίνησης
Είδη IDS µε βάσητηναρχή λειτουργίας τους Network Based Εξετάζουν το δίκτυο συνολικά (Network) για ίχνη εισβολής Είναι τα πιο διαδεδοµένα Host Based Εξετάζουν κάθε χρήστη ξεχωριστά Θεωρούνται πιο ισχυρά Hybrid Χαρακτηριστικά και από τις δύο κατηγορίες
Τεχνικές ανίχνευσης εισβολών 1/2 Ανίχνευση ιαταραχών (Anomaly Detection) Καθιερώνουν ένα σύνηθες προφίλ δραστηριότητας µε στατιστικό τρόπο Βασίζονται στο ότι όλες οι επιθετικές δραστηριότητες είναι ανωµαλίες Αν κάτι παρεκκλίνει από το προφίλ είναι επίθεση
Τεχνικές ανίχνευσης εισβολών 2/2 Ανίχνευση Κακής Συµπεριφοράς (Misuse Detection) Βασίζεται στο ότι υπάρχουν τρόποι αναπαράστασης επιθέσεων µε τηµορφή ενός προτύπου (signature) Αν ανιχνευτεί γνωστό πρότυπο έχουµε επίθεση
Παραδείγµατα τεχνικών Ανίχνευση ιαταραχών Ανίχνευση κακής συµπεριφοράς
Γιατί IDS; 1. Οι δικτυακές εισβολές είναι πραγµατικότητα 2. Παρέχειέναδεύτεροεπίπεδο προστασίας 3. Αναγνωρίζουµε λάθηστιςρυθµίσεις ενός δικτύου κάνοντας δυνατή τη βελτίωσή του
Network Intrusions Map
ΑΣΦΑΛΙΣΤΕΙΤΕ Ανάπτυξη έξυπνου συστήµατος ανίχνευσης επιθέσεων. Εγκατάσταση σε ΜΜΕ δυτικής Ελλάδας. οκιµή λειτουργίας και αξιολόγηση.
Στόχοι του συστήµατος 1/4 Σωστή διάκριση µεταξύ οµαλής και ανώµαλης λειτουργίας: ιεξαγωγή πειραµάτων και για τις δύο περιπτώσεις. ηµιουργία κανόνων. Εξασφάλιση επεκτασιµότητας του µοντέλου εντοπισµού.
Στόχοι του συστήµατος 2/4 Εντοπισµός ανωµαλιών στο πρώτο στάδιο µιας επίθεσης: Στάδιο Αναγνώρισης και συλλογής πληροφοριών για το θύµα. Χωρίς αυτό το στάδιο µια επίθεση δεν είναι πραγµατοποιήσιµη. Πιοεύκολοστονεντοπισµό. Το µεγαλύτερο πλεονέκτηµα τωνids σε σχέση µεταfirewalls.
Στόχοι του συστήµατος 3/4 Αναγνώριση και καταγραφή των επιτιθέµενων: Εύκολη υπόθεση αν προέρχονται και κατευθύνονται από µία µηχανή σε µία άλλη. Πιο δύσκολες στον εντοπισµό οι κατανεµηµένες επιθέσεις: 1. Πολλοί εναντίον ενός. 2. Πολλοί εναντίον πολλών.
Στόχοι του συστήµατος 4/4 Παρακολούθηση της λειτουργίας ολόκληρου του δικτύου σε πραγµατικό χρόνο: Πολλά IDS δεν κάνουν on-line ανάλυση, απλά καταγράφουν και επεξεργάζονται offline. Πληροφόρηση του υπεύθυνου ασφάλειας.
HELENA Είναι anomaly-based Είναι κατανεµηµένο Είναι αυτό-διατηρούµενο Συνδυάζει στοιχεία και από τα Hostbased και από τα Network-Based συστήµατα
Οργάνωση του συστήµατος 1/2 ύο βασικά συστατικά µέρη: Agent : Αισθητήρες σε κάθε µέλος του δικτύου, που παράγουν αναφορές πραγµατικού χρόνου για την κατάσταση της κίνησης. Juror : Κεντρική εφαρµογή που λαµβάνει τις αναφορές και αποφασίζει για το αν έχουµε ήόχι επίθεση.
Οργάνωση του συστήµατος 2/2
Πλεονεκτήµατα της κατανεµηµένης λογικής 1. Κατανοµή του φόρτου εργασίας 2. Προστασία και του συνολικού δικτύου αλλά και κάθε συστήµατος ξεχωριστά 3. Εντοπισµός πολλών ειδών επιθέσεις και από τα host-based και τα Networkbased IDS
Agent 1/5 Εκτελείται στο παρασκήνιο και παράγει στατιστικά για την κίνηση του δικτύου. Επικεντρώνεται στην παρακολούθηση του TCP/IP πρωτοκόλλου. Χωρίζει τα πακέτα του TCP σε δύο κλάσεις και µετράει τη συχνότητα εµφάνισης της κάθε κλάσης.
Agent 2/5 Πειράµατα µας έδωσαν τις παρακάτω κατανοµές για την κλάση των NON-ACK πακέτων στις δύο περιπτώσεις. Κατανοµή για κανονική κίνηση Κατανοµή για επίθεση
Agent 3/5
Agent 4/5 Είναι υλοποιηµένος σαν υπηρεσία των windows εν «φαίνεται» από τον χρήστη του συστήµατος Έχει µικρές απαιτήσεις σε πόρους συστήµατος
Agent 5/5
Juror 1/2 Μαζεύει τις αναφορές των agents και αποφασίζει για την κατάσταση του δικτύου ίνει πληροφορίες στον υπεύθυνο ασφαλείας του δικτύου Απαιτεί περισσότερους πόρους και απαιτεί dedicated server για να λειτουργήσει
Juror 2/2
Παράδειγµα Εκτέλεσης AGENT AGENT Επίθεση 195.32.55.12 70% Επίθεση 195.32.55.12 90% AGENT JUROR Επίθεση 195.32.55.12 70% 85% 96% Επίθεση 195.32.55.12 60% AGENT AGENT
Στόχοι για το µέλλον Επέκταση του agent για να υποστηρίζει και άλλα λειτουργικά ( π.χ. Unix-based ) Εισαγωγή νέων στατιστικών προτύπων ως προς την καλή/κακή λειτουργία
Σύνοψη Γενικά IDS Network-host based Ανίχνευση ανωµαλιών και ανίχνευση κακής συµπεριφοράς Το σύστηµα που υλοποιήθηκε