1 / 26

הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות. תרגול 11 – Intrusion Detection. Intrusion Detection Systems. אמצעי ההגנה שראינו עד כה לא תמיד מספיקים: FireWalls – מספקים הגנה היקפית כאשר יש גבול ברור בין הרשת הפנימית לחיצונית. זה לא תמיד המצב אנטי-וירוסים – טובים בעיקר לגילוי התקפות מוכרות ההתקפה יכולה לבוא מבפנים

elinor
Download Presentation

הגנה במערכות מתוכנתות

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. הגנה במערכות מתוכנתות תרגול 11 – Intrusion Detection

  2. Intrusion Detection Systems • אמצעי ההגנה שראינו עד כה לא תמיד מספיקים: • FireWalls – מספקים הגנה היקפית כאשר יש גבול ברור בין הרשת הפנימית לחיצונית. זה לא תמיד המצב • אנטי-וירוסים – טובים בעיקר לגילוי התקפות מוכרות • ההתקפה יכולה לבוא מבפנים • לפעמים העלות של בדיקה מדוקדקת בנק' הכניסה לרשת יקרה מדי • לא תמיד נוכל למנוע את כל ההתקפות • ננסה לפחות לגלות את ההתקפות שלא מנענו • ננסה לגלות נסיונות להתקפה הגנה במערכות מתוכנתות - תרגול 9

  3. מערכות לזיהוי חדירות (Intrusion Detection Systems) • נועדו לזהות נסיונות גישה בלתי מורשים או נסיונות התקפה • בזמן שנסיונות אלה מתרחשים • בדיעבד הגנה במערכות מתוכנתות - תרגול 9

  4. Intrusion Detection Systems – שתי גישות • גילוי שימוש לרעה (misuse detection) • משתמשות במודל המתאר התנהגות סבירה של התוקף • משתמש שמשך מהבנק את הסכום המקסימלי האפשרי במשך מספר ימים ברצף • שיחת טלפון נייד ארוכה במיוחד • נסיון להעתיק את קובץ הסיסמאות הגנה במערכות מתוכנתות - תרגול 9

  5. Intrusion Detection Systems – שתי גישות (2) • גילוי חריגות (anomaly detection) • מחפשות תבניות התנהגות לא רגילות • לעתים משתמשות בשיטות של בינה מלאכותית • מנהלות רשומות מעקב (audit records) הגנה במערכות מתוכנתות - תרגול 9

  6. גילוי חריגות (המשך...) • שיטות שונות להשוואה בין פעילות נוכחית ופעילות קודמת: • ממוצעים וסטיות תקן לאורך תקופה • בחינת המתאם בין משתנים שונים במערכת • מידול של הסתברויות מעברים בין מצבים • חיפוש רצפי מאורעות המתרחשים מהר או לאט מידי הגנה במערכות מתוכנתות - תרגול 9

  7. סוגי מערכות לגילוי חדירות • מערכות גילוי חדירה מבוססות מחשב (Host Based IDS – HIDS) • מנטרות את המאפיינים ואת המאורעות במחשב בודד • כוללת התקנה של סוכן על המחשב • OSSEC, Open Source Tripwire הגנה במערכות מתוכנתות - תרגול 9

  8. סוגי מערכות לגילוי חדירות(2) • מערכות גילוי חדירה מבוססות רשת (Network-Based IDS – NIDS) • מנטרות תעבורת רשת בחלקים מסוימים או התקנים מסוימים ברשת • מנתחות את התעבורה במטרה לגלות פעילות חשודה • מיקום גלאים במקומות מסוימים • גלאים פאסיביים • גלאים אקטיביים (Intrusion Prevention System) הגנה במערכות מתוכנתות - תרגול 9

  9. סוגי מערכות לגילוי חדירות(3) • סוגים שונים של חריגות: • קלט זדוני (למשל Buffer Overflow) • התקפות על הרשת (למשל DDoS) • תבניות פעילות חריגות (שעות, עומסים, פרוטוקולים) • הודעות שגיאה רבות • בשני הסוגים המערכות מדווחות למרכז בקרה (Security Operations Center) שמופעל בארגון הגנה במערכות מתוכנתות - תרגול 9

  10. מלכודות דבש (Honey Pots) מחשבים שמטרתם העיקרית למשוך התקפות ולאסוף עליהן מידע כל התקשרות אליהן ומהן היא תוצר של פעילות זדונית ישנן רשתות שלמות של "מלכודות דבש" – Honey Nets מנהלי המערכת לומדים על התנהגות ההתקפות כדי להגן על המערכות האמיתיות על המלכודות להיות שקופות לתוקף הגנה במערכות מתוכנתות - תרגול 9

  11. קשיים בבניית מערכות טובות לגילוי חדירות האינטרנט הוא סביבה "רועשת" – קשה להבדיל בין פעילות זדונית לסתם פעילות מוזרה מספר ההתקפות קטן מאוד (יחסית) אוסף החתימות גדל כל הזמן הפעלה לא נכונה ותחזוקה רשלנית של הכלים לגילוי חדירות תעבורה מוצפנת מונעת בחינה של החבילות Tradeoff בין כמות העבודה המושקעת ליסודיות הבדיקה כמו תמיד, יש להגן גם על המערכת עצמה הגנה במערכות מתוכנתות - תרגול 9

  12. יכולת הדיוק במציאת חריגות • תפקידה של IDS לקבוע האם תעבורה מסוימת הינה התקפה • פרשנות מקלה מדי – false positive • פרשנות מחמירה מדי – false negative הגנה במערכות מתוכנתות - תרגול 9

  13. יכולת הדיוק במציאת חריגות (2) נשים לב כי: המערכת הטובה ביותר היא זו שאינה טועה המערכת הגרועה ביותר היא מערכת שאינה מסוגלת להבחין בין התקפה להתנהגות רגילה בסיכוי הגבוה מהטלת מטבע הגנה במערכות מתוכנתות - תרגול 9

  14. יכולת הדיוק במציאת חריגות - עקומות ROC מתארות את התנהגות המערכת עקומה מתארת מערכת הניתנת לקונפיגורציה ניתן "לקנפג" מערכת על ידי קביעת סף הסתברות (threshold) על פיו מחליטים אם מדובר בהתקפה או לא בד"כ הנק' האופטימלית היא זו הקרובה ביותר לפינה השמאלית העליונה הגנה במערכות מתוכנתות - תרגול 9

  15. יכולת הדיוק במציאת חריגות(2) • האם המערכת הבאה טובה? • עבור מאורע חדירה למערכת המערכת תתן התרעה בהסתברות של 99.5% • עבור מאורע רגיל המערכת תתן התרעה בהסתברות של 0.05% (false positive) • רק מאורע אחד מכל 10,000 הוא חדירה הגנה במערכות מתוכנתות - תרגול 9

  16. כשל הסתברות קודמת תזכורת: חוק בייס 0.0001 0.995 0.0001 0.995 0.9999 0.0005 • נגדיר את המאורעות הבאים: • - חדירה למערכת • - מאורע "רגיל" • - המערכת מתריעה • - המערכת אינה מתריעה • ההסתברות שאם יש התרעה אז באמת יש חדירה: הגנה במערכות מתוכנתות - תרגול 9

  17. כשל הסתברות קודמת (2) לא הבאנו בחשבון את השכיחות המאוד גדולה של מאורעות רגילים כאשר התראה היא בד"כ התראת שווא, מי שמפקח על המערכת עלול להתרגל להתעלם מכל ההתרעות האתגר האמיתי של מערכות IDS אינו שיפור היכולת לזהות חדירות אלא צמצום התראות השווא הגנה במערכות מתוכנתות - תרגול 9

  18. דוגמה למערכת גילוי חדירות - Snort מערכת קוד פתוח לגילוי חדירות ברשת (NIDS) פועלת בעיקר על פי עקרון misuse detection יכולות גילוי חריגה (anomaly detection) מינימליות ניתן להתקין כגלאי פאסיבי או כגלאי מקוון שכל החבילות צריכות לעבור דרכו משתמשת בשפה גמישה להגדרת כללים המבטאים את מדיניות הגילוי ניתן להוסיף תוספים לתכנית הבסיסית הגנה במערכות מתוכנתות - תרגול 9

  19. Snort - הכללים • לכל כלל יש header ואפס או יותר אפשרויות • הכותר (header): • פעולה – אזעקה / רישום ללוג / התעלמות / זריקת חבילה / סגירת קשר TCP • פרוטוקול – UDP / TCP / ICMP • כתובות מקור ויעד • פורט מקור ופורט יעד • כיוון (האם הכלל הוא דו כיווני או לא) הגנה במערכות מתוכנתות - תרגול 9

  20. Snort – הכללים (2) • ישנם 4 סוגים של אפשרויות: • meta-data: מספקים מידע אך אין להם השפעה • classtype – סוג ההתקפה אותה אמור הכלל לגלות • reference – קישור למערכת חיצונית המספקת מידע נוסף • payload: מסתמכים על מידע הנמצא בתוכן החבילה. לדוגמה: • content – התאמה לתוכן מסוים הנמצא בחבילה • offset – המיקום בו התוכן אמור להימצא או מקום להתחלת חיפוש של התוכן • depth – טווח חיפוש מקסימלי הגנה במערכות מתוכנתות - תרגול 9

  21. Snort – הכללים (3) • non-payload – מידע הנמצא ב-headers. לדוגמה: • ttl – בודק את ערך ה-ttl (time to live) של החבילה • dsize – בודק את גודל ה-payload של החבילה • flags – ערכם של דגלי TCP • post-detection – פעילות המתבצעת לאחר שנמצאה התאמה בין חבילה לכלל • msg – מדפיס הודעה כאשר ישנה התאמה לכלל • logto – כותב לקובץ log הגנה במערכות מתוכנתות - תרגול 9

  22. Snort - דוגמאות alert tcp any any -> any 12345 (msg: “Netbus alert”; classtype: misc-attack; ) הסוס הטרויאני Netbus מתחבר אל המחשב הקורבן בפרוטוקול TCP בפורט 12345 הגנה במערכות מתוכנתות - תרגול 9

  23. Snort – דוגמאות (2) alert tcp any any -> any any (msg: “Netbus alert”; content: “Netbus”; classtype: misc-attack; ) בחבילה המכילה את Netbus מופיעה המחרוזת “Netbus” הגנה במערכות מתוכנתות - תרגול 9

  24. Snort – דוגמאות (3) alert udp $EXTERNAL_NET any -> HOME_NET 1434 (msg: “W32.SQLExp.Worm incoming”; content: “|68 6F 75 6E 74 68 69 63 6B|”; content: “|04|”; offset: 0; depth: 1; reference: bugtraq,5311; reference: bugtraq,5310; rev: 1; ) התולעת SQLSlammer מנצלת פגיעות בשרת SQL ומבצעת התקפת buffer-overflow. בדוגמה הבאה, Snort, מזהה את ה-payload שגורם לגלישה הגנה במערכות מתוכנתות - תרגול 9

  25. Snort – דוגמאות (4) alert tcp any any -> $HOME_NET any (msg: “NMAP TCP ping”; flags: A; ack: 0; ) בסריקת פורטים התוקף שולח הודעות TCP עם דגל ACK דולק בתקווה לקבל בתגובה הודעה עם דגל RST דולק הגנה במערכות מתוכנתות - תרגול 9

  26. Snort – דוגמאות (5) alert UDP $EXTERNAL_NET !53 -> $HOME_NET !53 (msg: “UDP Flood”; classtype: attempted-dos; threshold: type threshold, track by_dst, count 200, seconds 60) • דוגמה לגילוי התקפת DoS: • נשתמש בסף מסוג threshold • נאפשר חציה של הסף בפורט 53 שכן חבילות לפורט זה עשויות להיות חבילות DNS רגילות הגנה במערכות מתוכנתות - תרגול 9

More Related