Wykład 7 28-11-2012

Sposoby reakcji:

• Alarmowanie

• Blokowanie transmisji w ramach systemu IPS

  • Opcja Drop

  • Opcja Reset

  • Blokowanie określonej transmisji przez określony czas

  • Blokowanie określonej transmisji przekraczającej określone wartości progowe

• Współpraca z zaporami sieciowymi (dopisywanie dynamicznych reguł do zapór sieciowych)

Rodzaje systemów (IDS/IPS) ze względu na miejsce instalacji/wdrożenia

Zainstalowane na hostach „host based” (HIDS/HIPS)

Instalowane w oprogramowaniu hosta analizują:

• Transmisje przychodzące i wychodzące z hosta

• Działanie użytkownika (próby logowania, zainstalowania aplikacji, itp.)

• Zdarzenia systemowe (np. uruchomienie określonych procesów, usuwanie/modyfikację środowiska (plików))

Zalety:

• Blokowanie szkodliwych działań u źródła

• Dobra inspekcja pakietów pofragmentowanych

• Możliwość analizy ruchu, który przez sieć jest przesyłany w postaci zaszyfrowanej (VPN, SSL)

Wady:

• Ograniczone (lokalne) postrzeganie działań w sieci komputerowej (np. nie zawsze wykryty zostanie atak DDoS – przyjmując, że monitorowany host jest źródłem ataku a nie celem)

• Kłopotliwe zarządzanie

Przykład:

• Cisco Security Agent

Zainstalowane na urządzeniach sieciowych „network based” (NIDS/NIPS)

System zbiera ruch sieciowy z monitorowanej sieci (poprzez odpowiednie włączenie do sieci komputerowej i analizowanie wszystkiego co tam trafia)

Zalety

System ma scentralizowany charakter

Rozw….

Brak możliwości analizowania polaczen szyfrowanych

Rodzaje systemów ze względu na sposób działania

Network based – „On-line”

System nasłuchujący transmisji sieciowej stoi „z boku”, np. jest podłączony poprzez port monitorowane na przełączniku. Po wykryciu nadużycia może jedynie informować o tym.

Network based – „In-line”

Systemy „stojące” na rzeczywistej drodze analizowanej transmisji sieciowej, przez co możliwe jest natychmiastowe działanie i analizowanie.

Sygnatury

• Sygnatura – opis charakterystycznych elementów poszczególnych ataków na sieć

• Sygnatury atomowe – na podstawie analizy jednego pakietu

• Sygnatury złożone(statefull) – kilka występujących po sobie pakietów dostarcza inf czy mamy do czynienia z atakiem

Skuteczność IDS/IPS zależy m.in. od sygnatur

Sposoby aktualizacji sygnatur:

• Automatyczne

• Manualne

Kryteria oceny rozwiązań klasy IPS/IDS

Oceniać i porównywać systemy IDS/IPS można biorąc pod uwagę ich:

• Funkcje

• Wydajność

• Sposób administrowania (elastyczność zasad konstruowania polityk)

• Możliwość współpracy z innymi systemami, protokołami

Przykładowe dodatkowe funcje systemów IDS/IPS:

• Możliwość pracy w trybie transparentnym

• Funkcjonalność „honey-pot” z zapisywaniem sesji ewentualnego włamywacz

• Funkcja „Bypass” – pozwalająca na połączenie interfejsów wejściowych z wyjściowymi w przypadku awarii urządzenia

• Możliwość wyboru sposobu aktualizowania bazy ataków

• Możliwość dodawania autorskich sygnatur

• Wykrywanie nieautoryzowanych komputerów podłączonych do sieci komputerowej

• Wykrywanie systemów i aplikacji podatnych na błędy bezpieczeństwa

• Przy rozwiązaniach zdecentralizowanych możliwość szyfrowania ruchu pomiędzy sondami a stacją zarządzającą i zbierającą inf

Produkty alernatywne / uzupełniające w zakresie transmisji

Filtry aplikacyjne (WAF – Web Application Firewall), np Imperva SecureSphere, F5 BIG IP

Zapory sieciowe, a takze systemy IDS/IPS najczęściej mają ograniczone możliwości w zakresie blokowania ataków wykorzystującuch błędy logiczne aplikacji Web I baz danych:

• Manipulowanie i zmiany wartości parametrów aplikacji (URL, formatki)

• Fuzzing (zalewanie aplikacji losowo wybranymi eartościami)

• SQL-injwction

• CLI – injection

• Ldap-injection

Secure Device Event Exchange – SDEE

Protokół opracowany w celu zwiększenia możliwości monitorowania urządzeń bezpieczeństwa.

Ri# config t

Ri# config)# Ip http server

Ip http secure-server

Ips notify sdee

Ip sdee events 500

Uruchomienie IPS na routerach Cisco

1. Konieczność posiadania odpowiedniego urządzenia I IOS-a.

2. Pobranie sygnatur i umieszczenie ich w pamięci Flash.

3. Pobranie i dołączenie do konfiguracj klucza RSA, który słyży do weryfikacji integralności pobranych sygnatur

4. Stworzenie reguły inspekcji IPS
   R1(config)#ip ips name „nazwa”

5. Wskazanie lokalizacji sygnatur
   R1(config)# ip ips config location flash:ips

6. Uaktywnienie wszystkich lub wybranych sygnatur
   R1(config)# ip ips signature-category
   R1(config-ips-category)# category all
   R1(config-ips-category-action)# retired true

7. Przypisanie regły inspekcji do interfejsu
   R1(cinfig-if)#ip ips „nazwa” in/out

Sprawdzenie konfiguracji IPS – cisco

R1# show run

R1# Show ip ips signature (detail)

R1# Show / clear ip ips statistics

R1# clear ip ips configuration

R1# show ip ips signature count

Dostrajanie funkcji IPS

R(config)# ip ips signature-definition

R(config-sigdef)# signature 2004 0

R(config-sigdef-sig)# status

R(config-sigdef-sig-status)# retired false

R(config-sigdef-sig-status)# enabled true

R(config-sigdef-sig)# engine

R(config-sigdef-sig-engine)# event-action produce-alert

R(config-sigdef-sig-engine)# exit

R(config-sigdef-sig)# exit

R(config-sigdef)# exit

Do you want to accept these changes?

R(config-sigdef-sig-engine)#event-action produce-alert

R(config-sigdef-sig-engine)#event-action reset-tcp-conn

Translacja adresów (NAT, PAT)

• Zakresy prywatnych adresów

  • A – 10.0.0.0/8

  • B-172.16.0.0/12

• C-192.168.0.0/16

Stosując NAT można zastosować:

• Statyczne przypisanie adresów

• Dynamiczne przydzielanie adresów

• Przeciążenie adresów (PAT)

• Dystrybucję obciążenia TCP

Translacja adresów

Source Network Address translation (SNAT) to technika polegajaca na zmianie adresu źródłowego pakietu IP na jakiś inny

Destination Network Address Translation (DNAT) to technika zmiany adresu docelowego IP na inny.

Statyczny wpis translacji:

Router(config)# ip nat inside source static 10.6.1.20(local-ip) 171.69.68.10 (global-ip)

Router(config)# interface type number

Router(config-if)# ip nat inside (po stronie adresów prywatnych)

Router(config-if)# ip nat outside(po stronie adresów publicznych)

Konfiguracja usług NAT – komendy:

Router(config)# ip nat pool nat-pool1 179.9.8.80 179.9.8.95 netmask 255.255.255.0

Router(config)# access-list 1 permit 10.0.0.0 0.0.0.255

Konfiguracja usług PAT

Tłumaczenie a aktualny adres interfejsu:

Router(config)# ip nat inside source list 1 interface serial0/0 overload

Tłumaczenie na adresy zdefiniowanej wcześniej puli adresowej

Router(config)# ip nat pool nat-pool2 179.9.8.0 netmask 255.255.255.0

Router(config)#ip nat inside source list 1 pool nat-pool2 overload

Weryfikacja konfiguracji NAT/PAT

Router# show ip nat translations [verbose]

Router# debug ip nat

Router# debug ip nat detailed

Usuwanie wpisów

Clear ip nat translation

Clear ip nat translation inside [outside]

Clear ip nat translation protocol inside global-ip global-port