Proaktivni s
This presentation is the property of its rightful owner.
Sponsored Links
1 / 24

Luka Manoj l ović h ttp://luka.manojlovic [email protected] o vic PowerPoint PPT Presentation


  • 130 Views
  • Uploaded on
  • Presentation posted in: General

Proaktivni s istem obrambe pred omre žnimi črvi z uporabo “ limanic” in “loncev medu” - m o nitoring omrežja 18 . 02. 2006. Luka Manoj l ović h ttp://luka.manojlovic.net [email protected] o vic.net. O omrežnih črvih.

Download Presentation

Luka Manoj l ović h ttp://luka.manojlovic [email protected] o vic

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Luka manoj l ovi h ttp luka manojlovic luka manojl o vic

Proaktivni sistem obrambe predomrežnimi črvi z uporabo“limanic” in “loncev medu”-monitoring omrežja18. 02. 2006

Luka Manojlovićhttp:[email protected]


O omre nih rvih

O omrežnih črvih

  • Črvi so avtomatski programi, ki preko izkoriščanja napak v sistemih in aplikacijah vdirajo na sisteme in se širijo naprej – pri tem pa povzročajo škodo (obremenitev omrežja, kraja podatkov...)

  • Črvi so avtomatski vdiralci, ki simulirajo človeške napadalce in ne izkoriščajo uporabnikove neukosti


Viri oku b napadov

Viri okužb / napadov

  • Neposreden napad na sisteme iz omrežja (vhodne ali izhodne seje)

  • Prenos nevarne vsebine na lokalne sisteme (e-mail s priponkami,...)

  • Od kod?

    • Internet

    • Ostala zunanja omrežja (omrežja partnerjev)

      • Okužba mobilnih sistemov med gostovanjem v tujem omrežju (domača pisarna, partnerjevo omrežje, WLAN hotspot,...)

    • Priklop nenadzorovanih sistemov v lokalno omrežje (serviserji, partnerji, zunanji sodelavci, testni sistemi,...)


Tveganja

Tveganja

  • Danes

    • Zapora strežbe / DOS – Denial of service

      • V omrežju (odpoved naprav, pomanjkanje pasovne širine)

      • Na končnih sistemih (odpoved ali upočasnitev sistema)

  • Jutri

    • Dostop črva do občutljivih podatkov

      • Kar lahko privede do prave katastrofe na področju razvoja, financ...

    • Zapora strežbe / DOS – Denial of service

      • Delo je v takšnem primeru onemogočeno, saj je celotno omrežje ohromljeno


As oku be

Čas okužbe

“dan nič” (day zero)

nekaj ur

nekaj dni

čas

objava napake, izdaja popravkov OS

razvit nov črv

prve okužbe

odkrita nova napaka v OS, proizvajalec obveščen

črv pride do vas


Rni scenarij napaka odkrita s strani hekerjev objavljena na njihovih spletnih straneh

Črni scenarij / napaka odkrita s strani hekerjev(objavljena na njihovih spletnih straneh)

“dan nič” (day zero)

nekaj dni

nekaj ur

nekaj dni

čas

prve okužbe

izdaja popravkov OS

razvit nov črv

odkrita nova napaka v OS, proizvajalec obveščen, objava na spletu

črv pride do vas


Na ini prepre evanja

Načini preprečevanja

  • Preprečevanje znanih napadov (reaktivno)

    • Popravki OS/aplikacij

    • Iskanje znanih vzorcev napadov

    • Dovoljeno je vse, kar ni očitno nevarno

  • Preprečevanje še neznanih napadov (proaktivno)

    • Pravilo najmanjšega dostopa na vseh nivojih infrastrukture

    • Iskanje nepravilnosti oz. odstopanja od normalnega delovanja

    • Prepovedano je vse, kar ni eksplicitno dovoljeno

  • Vmesen pristop - iskanje splošnih posledic napadov


Cilji obrambnega sistema

Cilji obrambnega sistema

  • Sistem naj omogoča

    • Preprečevanje okužbe

    • Omejevanje širjenja in porabe virov

    • (Preprečevanje dostopa do občutljivih podatkov)

  • Zaželen je samodejen odziv

    • Ker je potencialno dovolj hiter


Prepre evanje irjenja in porabe virov omre je proaktivno

Preprečevanje širjenja in porabe virovOmrežje, proaktivno

omrežje

Sem uporabnik Jože, imam nameščen AV, HIPS in SP2

omrežje

omrežje

omrežje

omrežje

Overjanje uporabnikov na robu omrežja (LAN)

Preverjanje stanja sistema in varnostnih nastavitev

Segmentacija notranjega omrežja

Pravilo najmanjšega dostopa med segmenti

Pravilo najmanjšega dostopa znotraj segmenta


Luka manoj l ovi h ttp luka manojlovic luka manojl o vic

Preprečevanje širjenja in porabe virovOmrežje, proaktivno

Limanice (tarpit)

omrežje

IPS – zaznavanje pregledov omrežja,

izklop okuženih sistemov iz omrežja

omrežje

omrežje

omrežje

omrežje

Omrežna kakovost storitev (QoS)


Dodatni omre ni triki napredne tehnologije zaznave

Dodatni omrežni trikiNapredne tehnologije zaznave

  • Zaznava nepravilnosti v omrežnem prometu

    • Pregledovanje večine prometa

    • Alternativa: limanice ter lonci medu

  • Nepravilnosti so različnih stopenj očitnosti

    • Nova storitev v omrežju

    • Odjemalec postane strežnik

    • Količina ICMP-prometa poraste za 7%

  • Večinoma zahtevajo ročni odziv


Kaj tehnolo ko predstavlja limanico

Kaj tehnološko predstavlja limanico?

  • Limanica (Tarpit) je program, ki opravlja določene funkcije:

    • Upočasnjevanje napdalca z velikimi time-out časi

    • Napadalcu vseeno “da vedeti”, da smo prisotni in ga tako dodatno zadržuje

    • Limanico imenujemo tudi lepljivi medeni lonec čeprav je po definiciji medeni lonec nekoliko drugačen

    • Limanica iz omrežja prevzame proste IP naslove in na njih ustvari navidezne naprave


Kaj tehnolo ko predstavlja limanico1

Kaj tehnološko predstavlja limanico?

  • Primer tcpdump-a limanice LaBrea, ki jo je izdelal Tom Liston (http://labrea.sourceforge.net/):

    • Kaj počenja?

      • Posluša na omrežju med tem, ko se črv sprašuje, ali je na IP naslovu 10.0.0.13 kakšen računalnik

      • Ko limanica zazna, da na 10.0.0.13 najverjetneje nihče ne bo odgovoril (kar pomeni, da tam ni računalnika) se sama oglasi in napadalca “zapelje” na nek neobstoječ fizični naslov 0.0.f.ff.ff.ff

14:18:28.832187 ARP who-has 10.0.0.13 tell 10.0.0.1

14:18:29.646402 ARP who-has 10.0.0.13 tell 10.0.0.1

14:18:31.707295 ARP who-has 10.0.0.13 tell 10.0.0.1

14:18:31.707574 ARP reply 10.0.0.13 is-at 0:0:f:ff:ff:ff


Luka manoj l ovi h ttp luka manojlovic luka manojl o vic

Limanica – Tarpitdemo zajema:- opazovanje prometa z windows aplikacijo etherealhttp://www.ethereal.com/- opazovanje prometa z linux aplikacijo tcpdumphttp://www.tcpdump.org/- Labrea tarpit software, ki deluje tako na linux kot tudi na windows platformihttp://labrea.sourceforge.net (official)http://heanet.dl.sourceforge.net/sourceforge/labreahttp://store.manojlovic.net/ (mirror with prerequisites)http://support.microsoft.com/?kbid=842851 – Tarpitting Exchange 2003


Kaj tehnolo ko predstavlja lonec medu

Kaj tehnološko predstavlja lonec medu?

  • Lonce medu v omrežjih uporabljamo za učenje veščin, ki jih uporabljajo napadalci omrežja.

  • Zapomniti si moramo, da se z loncem medu v bistvu igramo “z ognjem”, saj lahko pri slabi postavitvi takšnega sistema napadalec dejansko pride v naše omrežje.

  • V osnovi pa je lonec medu sistem, ki:

    • Je ponavadi postavljen v tako imenovan “Perimeter network” ali pogosteje poznan kot DMZ del omrežja.

    • Je ponavadi nekakšen približek strežnika, ki ga uporabljamo (v primeru, da nas zanima do katerih podatkov našega podjetja se morebitni napadalec želi dokopati)

    • Ponavadi v resnici niti ne deluje na sistemu, ki ga napadalcu “prikazuje” (npr. Debian linux, ki teče na WindowsNT sistemu).


Kaj tehnolo ko predstavlja lonec medu1

Kaj tehnološko predstavlja lonec medu?

  • Na kaj moramo biti previdni?

    • Sistem postavimo v omrežje ne vemo pa kdaj ga bodo začeli napadati

      • Potrebujemo zanesliv alerting sistem

        • Pregledujemo loge požarnih zidov ter prehodov

        • Uporabimo požarne zidove z alerting sistemom (email, sms)

    • Onemogočiti moramo napade na zunanja omrežja ter na naše interno omrežje

      • Zapreti moramo vsa vrata navzven (!!!) in tako zavarovati naš lonec medu pred tem, da bi postal nevaren za ostale.


Kaj tehnolo ko predstavlja lonec medu2

Kaj tehnološko predstavlja lonec medu?

  • Sledenje dejavnosti napadalca

    • Vzpostavimo takšen sistem, ki nam bo omogočal sledenje na več plasteh

      • Intenzivni monitoring požarnega zidu, za katerim tiči lonec medu

      • NE puščajmo log datotek na sistemu! Prevsmerimo jih drugam – syslogging system.

      • Aktivirajmo “vohljača” omrežja na požarnem zidu tako, da bomo lažje razbrali kateri paketi krožijo po omrežju (nove storitve, sniffer na loncu medu...)

      • Uporaba programske opreme, ki nam prikaze spremenjene datoteke na sistemu (tudi za Windows okolje) – težava je v tem, da jo izkušen udiralec kmalu zazna kar pomeni konec lova.


Kaj tehnolo ko predstavlja lonec medu3

Kaj tehnološko predstavlja lonec medu?

  • Sledenje dejavnosti napadalca ko ta že prevzame nadzor nad loncem medu

    • Pustimo ga, da si “uredi delovno okolje”

    • Iz sistema ga vržemo z izključitvijo sistema

      • Sistem nato popravimo (zapremo vse luknje ali “back doors”, ki jih je napadalec postavil)

      • Sistem spet postavimo na isto mesto (tako lahko testiramo ali novi popravki odpravijo stare napake)


Luka manoj l ovi h ttp luka manojlovic luka manojl o vic

Lonec medu – Honey potdemo zajema:- Pregled spletnega portala Brazilske CERT organizacijehttp://www.honeynet.org.brhttp://www.honeypots-alliance.org.br/- Syslog orodja / prikaz syslog monitoringa usmerjevalnikahttp://www.kiwisyslog.com/- Back officer friendly honeypot for Windows http://www.nfr.com/


Luka manoj l ovi h ttp luka manojlovic luka manojl o vic

Povezavehttp://www.insecure.org/ - Hacking resourceshttp://www.snort.org/ - samooklicani “de facto” standard za preprečevanje vdorovhttp://rootprompt.org/ - novice v zvezi z računalniško varnostjohttp://www.dshield.org/ - Distribucijski sistem za detekcijo in preprečevanje vdorovSlovenske spletne strani povezane z računalniško varnostjohttp://rz.hicsalta.si – Portal ravbarji in žandarji podjetja HicsaltaNovičarske skupinenews.siol.net / news.arnes.si


Luka manoj l ovi h ttp luka manojlovic luka manojl o vic

Vprašanja?


  • Login