Wykrywanie anomalii protokotowych

Wykrywanie sygnatur

ruchu

•

Metoda stosowana do pewnych form

ataków, polegająca na porównywaniu

sygnatur" ataku z ruchem. Poszukuje

się wzorców ataków jedynie w takich

fragmentach ruchu, gdzie mogą się

one znajdować, co pozwala

zrezygnować z przegląda nia całego

strumienia.

Wykrywanie

anomalii

protokotowych

Metoda stosowna do identyfikacji

ataków metodą

wyszukiwania odchyleń od protokołów

stanowiących podstawę normalnego

ruchu. Zasadniczo metoda ta

weryfikuje ruch, opierając się na

opublikowanych specyfikacjach

protoko łów, wyszukując niewłaściwe

stosowanie protokołów

komunikacyjnych.

Wykrywanie tylnych

furtek

•

Identyfikacja i zabez pieczenie przed

atakami przez „tylne furtki". Ataki tego

typu pozwalają zazwy czaj na przejęcie

kontroli nad całym systemem lub

aplikacją. Tylne furtki po zostawiane są

często przez projektantów systemów,

którzy używali ich na etapie

uruchamiania, lub też są instalowane

przez trojany dostające się do sieci.

Wykrywanie anomalii w

ruchu

•

Wykrywanie ataków, które nie zawierają

się w pojedynczej sesji, lecz wymagają

kilku po łączeń. Często są to misje

rozpoznawcze, zbierające informacje o

sieci dla przeprowadzenia przyszłych

ataków. Wykrywanie anomalii w ruchu

pozwala na identyfikację takiej

aktywności przez porównywanie ruchu

wejściowego z wzorcami ruchu

normalnego.

Pułapki sieciowe

•

Symulowanie nieistniejącej usługi

polegające na wysyłaniu fałszywej

informacji do napastnika próbującego

sondować sieć. Każda próba

połączenia się z taką usługą jest uwa

żana za próbę hakerską, ponieważ w

rzeczywistości usługa taka nie

istnieje w systemie.

Wykrywanie hybrydowe

•

Zapewniające skoordynowane stosowanie wie lu

metod wykrywania w celu zwiększenia szansy

identyfikacji ataku. Zbiera dodatkowe informacje

o działaniach szkodliwych, prowadząc: behawioral

ny monitoring ruchu, śledzenie stanów

protokołowych i reasemblację pa kietów IP Z kolei

analiza korelacji statystycznych pozwala oceniać

zagrego wane zdarzenia pod kątem właściwej

identyfikacji potencjalnych ataków i

uszeregowania ich pod względem ważności,

minimalizując przy tym moż liwość fałszywych

alarmów.

Reasemblacja ruchu IP

•

Rozpoznawanie fragmentowanych

pakietów IP i wykonywanie

rekonstrukcji od warstwy 3 do 7.

Sensor wykonuje reasembla cję

spójną ze stosem IP

Wykrywanie ataków

zanurzonych

•

Jedną z taktyk używanych przez na pastników

w celu zmniejszenia prawdopodobieństwa

namierzenia jest ukrycie prawdziwego ataku

w potoku pakietów, np. typu DoS. Można tym

łatwo wprowadzić w błąd tradycyjnie

działające IDS. Ich sensory mogą przepuścić

rozproszone pakiety składające się na realny

atak. W potoku innych pakietów można ukryć

pakiety stworzone do ataku.

Behawioralny monitoring

ruchu

•

Metoda licznika statystycznego lub

częstotliwościowego do dokładnego

identyfikowania formy ruchu wskazująca, że

jest to DoS lub atak metodą potoku pakietów.

Metoda uwzględnia mechanizm samo

strojenia do rozpoznawania różnych

środowisk, a nawet różnych typów organizacji

wewnętrznej ISP Dopuszczalne formy poszcze

gólnych typów zdarzeń w jednej lokalizacji

mogą być uważane za atak po tokowy w innej.

•

Do tradycyjnych systemów Host IDS

doszły produkty typu

File

IntegrityAs- sesment

monitorujące stan plików

systemowych i aplikacyjnych, a także

re jestrów systemowych. Trzecim

typem są produkty

Intrusion

Prevention Sys tems

(IPS).

Ewolucja systemów

wykrywania włamań

•

Identyfikacja pasywna

wykorzystuje

informacje związane z systemami

funkcjonującymi w hostach będących

celem ataku w sieci. IDS zbiera dane o

systemie operacyjnym, usługach i

niektórych aplikacjach pracujące na

hoście, a następnie używa tej informacji

do ograniczania fałszywych rozpoznań.

•

Identyfikacja pasywna działa na

zasadzie porównywania kluczowych in

formacji nagłówkowych TCP i IF?

otrzymanych z hosta źródłowego, z bazą

da nych sygnatur specyficznych dla

danego hosta docelowego. Najbardziej

po pularne identyfikatory z nagłówka to:

rozmiar okna, czas „życia" pakietu, bit

DF i całkowita długość pakietu:

Czas „życia" pakietu

jest kolejnym

parame trem, który zapewnia użyteczną

charakterystykę systemu operacyjnego

hosta.

Długość całkowita

określa długość całego

pakietu wraz z nagłówkiem IP i zawartością

i jest informacją z dużym przybliżeniem

identyfikującą system - niektóre systemy

operacyjne mogą być rozpoznane na

podstawie domyślnej długości pakietów

SYN i SYNACK.

Rozmiar okna

określa rozmiar bufora

pakietów wchodzących. System operacyjny

ustawia ten parametr zazwyczaj na począt ku

sesji TCP Większość systemów operacyjnych

typu Unix, takich jak

Linux

czy Solaris,

utrzymuje stały rozmiar okna na czas trwania

sesji TCP natomiast system operacyjny

Windows zmienia rozmiar okna w czasie

trwania sesji.

Zintegrowana ochrona przed

intruzami

•

Hakerom nie brakuje pomysłów w wymyślaniu

coraz bardziej złożonych ata ków, lepiej

przystosowanych do obchodzenia środków

ochrony obwodowej. Sieciowe IDS okazują się

niewystarczają cym środkiem monitorowania

takich zagrożeń.

•

Ten typ oprogramowania wykrywania wtargnięć

jest instalowany przede - wszystkim na

serwerach, ale także można go zainstalować na

desktopach i lap topach.

•

Moduły agentów HIDS powinny być wdrażane na

krytycznych dla działa nia biznesu serwerach.

Sieciowe IDS jako narzędzia

analityczne

•

Sieciowe systemy wykrywania włamań IDS (

Intrusion Detection

Systems)

za czynają znajdować nową niszę - narzędzi

analitycznych, pozwalających na wgląd do sieci i zrozumienie

tego, co się w niej dzieje w obszarze bezpie czeństwa.

•

IDS to pasywne sensory do wykrywania ataków, naruszeń reguł

polityki bezpieczeństwa, złych zachowań i złych ustawień

konfiguracyjnych związa nych z bezpieczeństwem.

•

Pomyślna implementacja sieciowych IDS zależy od trzech

krytycznych czynników:

•

Świadomej polityki bezpieczeństwa. Sieciowy IDS nie wykryje

podej rzanych zachowań dopóty, dopóki nie zostanie

zdefiniowane co jest, a co nie jest dozwolone w sieci.

•

« Świadomość powiązania z siecią - produkty IDS nie nadają się

do auto matycznej klasyfikacji ataków na podstawie systemu,

który został zaatakowany.

•

Architektura IDS - użyteczność IDS zależy od implementowania

ich w sposób, który zapewni uzyskiwanie użytecznej informacji.

Kontrola zawartości poczty

elektronicznej

•

Poczta elektroniczna to niezwykle istotna aplikacja biznesu,

problemem jest jednak niepożądana zawartość przesyłek

pocztowych. Zarządzanie zawar tością poczty elektronicznej

umożliwia sprawdzanie i kontrolowanie dystry bucji poczty na

podstawie zawartości przesyłek pocztowych. Są do tego

przeznaczone specjalne programy.

•

Programy te sprawdzają i kontrolują dystrybucję poczty

elektronicznej na podstawie treści przesyłek pocztowych. Do

kontrolowania stosuje się słowa kluczowe.

•

Stosowane rozwiązania pozwalają na izolowanie przesyłek naruszają

cych standardy, dając zarządcy systemu możliwość określenia, jaka

ak cja ma być podjęta w odniesieniu do takiej poczty. Poza

przesłaniem - pocztą elektroniczną - powiadomienia do nadawcy i

zarządzającego sys temem, generowane są alarmy z dostosowywaną

treścią, np. „wykryto wirusa", a do dziennika zdarzeń aplikacji

pocztowej jest przesyłana od powiednia informacja.

•

Do obsługi spamu wykorzystuje się m.in. Realtime Blackhole List (li

sta ośrodków dystrybuujących spam), dopuszczając jednocześnie

tworze nie własnych list domen i ośrodków „spamotwórczych".

Spam

•

Mianem spamu określa się niepożądane przesyłki poczty

elektronicznej, do starczane najczęściej w ramach tzw.

marketingu bezpośredniego. Pierwszą przesyłkę poczty

elektronicznej sklasyfikowano jako spam w roku 1994. Do

tyczył on promocji loterii w Stanach Zjednoczonych. Od

tamtej pory spam przeszedł znaczną ewolucję. W miarę

upowszechniania poczty elektronicznej stał się poważnym

problemem biznesowym Spam to duże utrapienie zarówno

dla użytkowników indywidualnych, jak i dużych organizacji.

W miarę wzrastania liczby spamu, rośnie też czas po

święcany na przeglądanie poczty i wykreślanie spamu, nie

wspominając już o zajmowaniu pasma w sieci czy pamięci

serwerów pocztowych.

Filtrowanie spamu

•

Do walki ze spamem w sieciach

przedsiębiorstw stosuje się dedykowane

bramy filtrujące, umieszczane zazwyczaj

pomiędzy zaporą ogniową a ser werem

poczty elektronicznej, i usługi filtrowania

antyspamowego poza sie cią

korporacyjną - na bramie internetowej.

Brama może mieć formę opro

gramowania lub urządzenia.

Strojenie efektywności

filtra

•

Wysoka czułość filtra w sposób naturalny

zwiększa wskaźnik fałszywych roz poznań.

Podobnie niski wskaźnik fałszywych rozpoznań

jest związany zazwy czaj z obniżonym

wskaźnikiem rozpoznań właściwych.

•

Większość produktów antyspamowych można

dostroić, zwiększając czułość i zmniejszając

liczbę fałszywych rozpoznań. Są dwa

podstawowe sposoby strojenia filtrów

pocztowych.

Pozyskiwanie adresów do

spamu

•

Do masowego rozsyłania wiadomości są niezbędne

zbiory adresów, pod któ re przesyłki mają być

dostarczane. Spamerzy mają do dyspozycji wiele na

rzędzi umożliwiających zdobycie nowych adresów.

•

W Internecie można znaleźć narzędzia do

automatycznego pobierania adresów poczty

elektronicznej ze stron webowych, plików

tekstowych i in nych źródeł dostępnych online.

Narzędzia te pozwalają na zarządzanie lista mi

zgromadzonych adresów pocztowych, eliminując

duplikaty, personalizu jąc wiadomości i wykonując

inne funkcje.

Techniki identyfikacji

spamu

•

Walka ze spamem jest procesem ciągłym. W miarę

pojawiania się no wych technik filtrowania spamerzy starają

się wynaleźć sposoby ich obej ścia. Podstawowe metody

wykrywania spamu są następujące:

•

Domenowe czarne i białe listy nadawców.

•

Rozproszone czarne listy nadawców.

•

Motory heurystyczne.

•

Motory klasyfikacji statystycznej.

•

Sieci neuronowe.

•

Metoda sum kontrolnych.

•

Przynęty.

•

Sieci

peer-to-peer.

•

Poczta uwierzytelniana.

Domenowe czarne i białe

listy nadawców

•

To podstawowa forma blo kowania spamu.

Administrator domeny wpisuje na tzw.

czarną listę adre sy wszystkich znanych

nadawców spamu. Przesyłki pocztowe

przycho dzące spod adresów znajdujących

się na tej liście są uznawane za spam.

•

Chcąc z kolei zapewnić odbiór poczty od

pewnych nadawców, two rzy się tzw. białą

listę zawierającą adresy, spod których

przesyłki będą za wsze przekazywane.

Rozproszone czarne listy

•

to listy aa poziomie Internetu. Stanowią

katalog znanych adresów spamerów oraz

domen i są publikowane w sieci -

bezpłatnie lub w płatnej subskrypcji (np.

Mail Abuse Preven tion System

-MAPS).

•

Wiele organizacji uważa te listy za bardzo

użyteczne. Jednak może się zdarzyć, że

przez pomyłkę znajdą się na nich legalni

nadawcy poczty.

Motory heurystyczne

•

Do niedawna motory heurystyczne były naj

bardziej efektywną metodą identyfikowania

spamu. Posługują się one zbiorem reguł służących

do analizowania wiadomości pocztowych pod

kątem cech charakterystycznych dla spamu (np.

obecność fraz typu „zo stań bogatym" czy

„nadzwyczajna okazja"). Dobry motor

heurystyczny może zawierać setki lub tysiące

takich reguł, często powiązanych z od powiednią

punktacją - powiększaną z każdym wykryciem

cechy „spa- mopodobnej".

Motory klasyfikacji

statystycznej

•

Najbardziej obiecującą metodą walki ze

spamem stają się metody statystyczne.

Klasyfikacja statystyczna jest dostępna w

różnych formach. Najbardziej

rozpowszechnioną dzisiaj metodą są filtry

Bayesa. Ten typ filtrów oparto na

teoretycznych podsta wach opracowanych

przez XVIII-wiecznego matematyka

brytyjskiego Thomasa Bayesa.

Sieci neuronowe

•

Kreatywna adaptacja metod statystycznych

elimi nuje konieczność instalowania

oprogramowania po stronie klienckiej.

•

Sieci neuronowe oparte na algorytmach

sztucznej inteligencji są po dobne w

działaniu do filtrowania za pomocą metod

statystycznych (Baye sa) - oprogramowanie

uczy się rozpoznawania nowego spamu.

Jednak oprogramowanie to rezyduje w

ośrodkach dostawców filtrów, a nie na

klientach użytkowników.

Metoda sum kontrolnych

•

Polega na używaniu techniki stosowanej

także przy wykrywaniu wirusów. Z każdej

wiadomości pocztowej jest two rzona suma

kontrolna (swoisty „odcisk palca"), którą

umieszcza się w bazie danych. W przypadku

tej metody kluczowa jest powtarzalność.

Jeżeli w bazie danych znajduje się duża liczba

takich samych lub podob nych tzw. odcisków

palca, oznacza to, że reprezentują one spam.

Przynęty

•

To metoda klasyfikacji wiadomości przez

firmę specjalizu jącą się w zwalczaniu spamu.

Polega na zakładaniu w Internecie atrap

skrzynek pocztowych (przynęt). Jedynym ich

przeznaczeniem jest przy ciąganie spamu.

Poczta, która przychodzi pod te adresy, jest

rejestrowa na w bazie danych. Firma

używająca pułapek zapewnia następnie

swoim klientom usługę, która porównuje całą

pocztę wchodzącą klienta z bazą danych

spamu przechwyconego przez pułapki.

Document Outline