1 / 37

Intrångsdetektering

Intrångsdetektering. Teori och praktik. Vem är jag?. Civ.ing. Datateknik, KTH Säkerhetsinriktningen 1998 Säkerhetskonsult Infosec 2000 penetrationstester simulerade attacker. Dagens föreläsning. Bakgrund Intrångsdetektering Utblick verkligheten Framtiden Mer information. Bakgrund.

brac
Download Presentation

Intrångsdetektering

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Intrångsdetektering Teori och praktik Anders Ingeborn

  2. Vem är jag? • Civ.ing. Datateknik, KTH • Säkerhetsinriktningen 1998 • Säkerhetskonsult Infosec 2000 • penetrationstester • simulerade attacker Anders Ingeborn

  3. Dagens föreläsning • Bakgrund • Intrångsdetektering • Utblick verkligheten • Framtiden • Mer information Anders Ingeborn

  4. Bakgrund Anders Ingeborn

  5. Vad är folk rädda för? • Intrång, industrispionage • ”Personliga integriteten” • ”Hackers” som byter ut webbsidor • Blockerade e-handelsplatser Anders Ingeborn

  6. Vanlig situation idag • Anti-virus • Inkommande e-post • Filer • Brandväggar • Skalskydd, attacker utifrån • Ofta ganska statiskt Anders Ingeborn

  7. Vad saknas? • Attacker från ”insidan” • Allmän övervakning • Trafikflöden • Beteende Anders Ingeborn

  8. Intrångsdetektering Anders Ingeborn

  9. Vilken funktion fyller ett IDS? • ”Intelligent” övervakning • Grundläggande modell • Samla information • Analysera • Upptäcka intrång • Vidta åtgärder • Larma • Avbryta • Samla bevis Anders Ingeborn

  10. Beståndsdelar i ett IDS • Sensorer • Analysverktyg • Kunskapsdatabaser • Övervakningsarkiv • Larm • Administrationsverktyg, gränssnitt ”CIDF” (Common Intrusion Detection Framework, DARPA, USA) Anders Ingeborn

  11. Vad är ett ”intrång”? • Vad vill vi detektera? • Studier • SRI International • U. Lindqvist & E. Jonsson, Chalmers • Bra sammanfattning • E. Amoroso Anders Ingeborn

  12. Exempel • Upprepade misslyckanden • Antal, intervall • Felskrivna kommandon • Protokoll • Motsägelsefulla användaraktiviteter • root • Motsägelsefulla trafikmönster • Falska adresser Anders Ingeborn

  13. forts. exempel • Avvikelser i rutiner • Backup-tagning • Onormal aktivitet • Tid, adress, användaridentitet mm • Otillåtna trafikflöden • ”Misstänkta” strängar mm • /etc/shadow • .mp3 Anders Ingeborn

  14. Samla in information • Allmänna systemloggar • Inloggningar • Omstarter • Tjänster • Avlyssning • Sensorer / agenter • Nätverksbaserad • Datorbaserad Anders Ingeborn

  15. Nätverksbaserad insamling • Sensorer • Anslutna till nätverkssegment utan egen adress, ”osynliga” • Integrerade i nätverkskomponenter • Bra • Belastar inga andra datorer • Kan upptäcka pågående attack • Dåligt • Missar attacker som ej går över nätet • Sessionskryptering Anders Ingeborn

  16. Datorbaserad insamling • Övervakningsmoduler på varje dator • Bra • Kan se resultatet av en attack • Inte känsligt för sessionskryptering • Ingen extra hårdvara • Dåligt • Belastar värddatorn • Värddatorn får ej slås ut • Olika operativsystem Anders Ingeborn

  17. Principer för analys • Förbjudet • Enkla regler • Signaturer • Kända attacker / missbruk • ”Onormalt” • Givna parametrar att bevaka • Allmänna avvikelser från det normala • Nya attacker Anders Ingeborn

  18. Att identifiera kända attacker • Enkla regler • Jfr. brandvägg • Enkelt och effektivt, men inte så kraftfullt • Mönstermatchning / attacksignaturer • Jfr. anti-virus • Kräver uppdateringar • Dynamiska associationer • T ex inloggningsförsök • Korrelation med tidigare aktiviteter? Anders Ingeborn

  19. Att identifiera ”nya” attacker • Statistiska profiler • Paket • riktning, tid, antal mm • Sessioner • riktning, tid, datamängd mm • Användare (användaridentitet) • tid, datum, adress, beteende mm • Tjänster (öppna portar) • tid, datum, adress mm Anders Ingeborn

  20. Neurala nät • Neurala nät • Idag mest i teorin • Invärden • Vilka parametrar? Översättning? • Utvärden • Vad vill man ha ut? Klassificering? Larm? • Många falsklarm, all ”ny” aktivitet är inte fientlig • Inlärning • Isolerad eller verklig? • ”Lagom” träningsmängd? Överinlärning... Anders Ingeborn

  21. Var skall analysen ske? • Distribuerat i varje sensor • Sensorerna blir för komplexa • Uppdatering av information • Via central eller alla till alla • Centralt • Kommunikation till central sårbar • Separat kanal (dubbla nätverkskort) Anders Ingeborn

  22. Överföring av information • Push • Vad betyder ingen information? • Ingen attack eller utslagen sensor • Regelbundna livstecken • Pull • Långa intervall • Missade attacker • Realtid? • Korta intervall • Mycket merarbete Anders Ingeborn

  23. Kunskapsdatabaser • Strängar och teckenkombinationer • Statistiska profiler • Aktuell statistik • Aktuella gränsvärden • Attacksignaturer • Senaste versioner Anders Ingeborn

  24. Lagring av information • Arbetsminne • Loggar • Arkiv Anders Ingeborn

  25. Åtgärder • Larm • E-post, personsökare, telefon • Omkonfigurering av brandväggar etc • OPSEC m fl • Avsluta sessioner • ”Motattacker” • Falska avsändaradresser…? • Oetiskt Anders Ingeborn

  26. Utblick verkligheten Anders Ingeborn

  27. System på marknaden (1) • ISS RealSecure • Kanske det mest sålda? • Cisco NetRanger • Goda förutsättningar för integration i nätverkskomponenter • Network Flight Recorder • ”N-code” kraftfullt språk • Axent NetProwler & Intruder Alert • Global skalbarhet Anders Ingeborn

  28. System på marknaden (2) • Network Associates CyberCop • Nätverksbaserat och datorbaserat i ett ”next generation” • Computer Associates SessionWall • Framtida kombination med ”Neugents”? • Naval Surface Warfare Center, Shadow • Öppen källkod för Unixsystem • Tripwire • Ett av de äldsta datorbaserade systemen Anders Ingeborn

  29. Dagens system • Attacksignaturer • Ett par hundra olika attacker • Regelbundna uppdateringar • Interoperabilitet • Ej för attacksignaturer • Med t ex brandväggar, men inte andra IDS • Skalbarhet • Ett par hundra agenter per central Anders Ingeborn

  30. Problem • ”50 ways to defeat your IDS”, F. Cohen • Dela upp en attack – ”smygteknik” • Använd olika IP-adresser • Använd olika användarnamn • Döp om känsliga kommandon • su • Skapa en stor mängd falsklarm • fyll upp minne • trötta ut administratörerna Anders Ingeborn

  31. forts. problem • ”Anti-IDS tactics”, Rain Forest Puppy • Dela upp ett kommando på flera paket • 2-3 tecken per IP-paket • Förvräng kommandon så att IDS missar men offret förstår • GET /index.html HTTP/1.0 • GET /./././i%6e%64ex.%68t%6dl HTTP/1.0 • Avvägning mellan snabbhet och smarthet... Anders Ingeborn

  32. Spekulation om framtiden • Uppsving för datorbaserad ID • Sessionskryptering • CyberCop • Neurala nät • Kraftfullt mot nya attacker • Neugents • Integration i nätverkskomponenter • Switchar mm Anders Ingeborn

  33. forts. framtiden • Interoperabilitet • Nätverkskomponenter • Attackdatabaser • Skalbarheten förbättras • ”Globalisering” • ”Data warehousing and mining techniques” • Stora loggar och arkiv Anders Ingeborn

  34. Mer information • Böcker • Stephen Northcutt • ”Network Intrusion Detection” (400:-) • Edward Amoroso • ”Intrusion Detection” (500:-) • Rebecca Bace • ”Intrusion Detection” (600:-) Anders Ingeborn

  35. Forskning • Chalmers, Erland Jonsson • SRI International, Kalifornien Anders Ingeborn

  36. Frågor? Anders Ingeborn

  37. Slut! Anders Ingeborn

More Related