Rodzaje sygnatur
Ze względu na szkodliwość
Sygnatury informacyjne
Sygnatury ataku
Ze względu na złożoność:
Pojedyncze (atomik) – wykrywanie na podstawie analizy jednej ramki -> nie wymagają zasobów
Złożone- do wykrywania wymagania jest analiza wielu ramek w pewnym okresie czasu, być może z wielu hostów -> niezbędne są duże zasoby pamięci
Implementacje IDS
Programowe
IDS-czynności konfiguracyjne
Zainicjowanie usługi IDS- typ powiadamiania, parametry pocztu, definicja zabezpieczanej sieci, rozmiar kolejki dla alarmów
Konfiguracja, blokowanie lub wyłączanie sygnatur
Wdrożenie zasad audytu dla sygnatur ataku i informacyjnych na interfejsie
Weryfikacja konfiguracji
Dołożenie sensora IDS do mapy sensorów
Inicjowanie usługi IDS
IP audit notisy log – powiadamienia kierowanie do lokalnych logów
IP audit notify dir – powiadomienia kierowanie do stacji zarządzającej
IP audit po local – przy wysyłaniu powiadomienia użyj lokalnych ustawień POST Office
IP audit smtp spam 300 – ustanowienie liczby odbiorów e-mail traktowane jako spam
IP audit signature NN diable – zablokowanie sprawdzania sygnatury o numerze NN
http://www.cisco.com/pcgi-bin/front.x/csec/scecHome.pl
Wyłączanie sygnatur
ip audit signature 1107 list 89
ip audit signature 2004 list 89
Access-list 89 deny host 172.16.0.1
Access-list 89 deny 172.16.1.0 255.255.255.0
Access-list 89 permit Any
Ustanowienie zasad audytu
Defincja domyślnych zasad:
Ip audit info action alarm
Ip audit attaca action alarm drop reset
Definicja specyficznej zasady
Ip audit info action alarm drop
IP audit name AUDIT1 attack action alarm reset
Instalacja zasad na interefejsie
Interface E0
Ip audit AUDIT1 in
Weryfikacja konfiguracji IDS
Show ip audit statstic – listowanie liczby audytowanych pakietów I wysyłanych powiadomień
Show ip audit configuration – listowanie konfiguracji
Show ip audit interface- listowanie konfiguracji interfejsu
Show ip audit debug – listowanie flag debugowania
Logging – dziennik zdarzeń
Korzyści
Czy router pracuje prawidłowo
Czy router nie został skompromitowany
Ślad działalności administratora i osób trzecich
Jakie typy ataków były podejmowane
Syslog host
Dedykowany komputer do zapisywania dziennika zdarzeń
Umieszczony w dedykowanej zaufanej sieci
Usunięcie wszystkiego zbędne usługi
Konieczność bieżącego śledzenia dziennika
Bardzo istotny jest stempel czasowy zdarzenia -> dostęp do tzw. Timeservera’a
Co zapisać w dziennikach
Ogólna zasada:
To, co jest ustalone w zasadach bezpieczeństwa opracowanych dla instytucji
Zawsze:
Dane o dopasowaniach do filtrów ACLA dla pozycji blokujących dostęp;
Zmiany konfiguracji routera
Zapisywanie zmian statusu interfejsów i sieci
Zapisywanie naruszeń zabezpieczeń kryptograficznych
Czego w dziennikach nie można zapisać ?
Faktu zmiany poziomu uprzywilejowania (Exec)
Miejsca zapisywania zdarzeń
LINIA KONSOLOWA
Lokalny bufor logów
Linia terminalowa
Serwer logów
Gdy system logów jest wyłączony komunikaty są kierowane tylko na konsolę operatorską
Konfigurowanie systemu logów
Wypisywanie komunikatów na konsolę jest domyślnie włączone
Skierowanie komunikatów do lokalnego bufora cyklicznego o rozmiarze size lub poziomie level
R1(config)# logging buffered [size|level]
Wypisywanie komunikatów na konsolę jest domyślnie włączone
Kierowanie komunikatów na używaną linię terminalową – do czasu utrzymywania na niej sesji
R1 # terminal monitor
Kierowanie komunikatów do demona syslog na innym komputerze w sieci
R1(config) # logging host
Dodawanie daty i godziny zdarzenia (domyśle wyłączone
R1(config ) # service timestamps Messager-type [uptime]
R1(config) # service timestamps message-type datetime [msec] [localtime] [show-timezone]
Określanie poziomu zapisywanych komuniaktó
R1(config) # logging console level
R1(config) # loggiong monitor level
R1(config) # loging trap level
Platformy I aplikacje syslog
Windows
Kiwi
Microtik syslog demon
Winsyslog
Solarwinds.net
Whatsup gold
Unix
syslogd
Mechanizm zabezpieczeń transmisji w środku IPSec
Zagadnienia
Zagrożenia bezpieczeństwa transmisji danych
Właściwości architektury IPSec
Tryby pracy IPsec
Zagrożenia bezpieczeństwa transmisji danych w sieci Internet
Brak poufności
Utrata integralności danych
Podszywanie się pod legalnych użytkowników
Paraliż (blokada) realizacji usług
Próby zabezpieczania transferu danych
SSH
SSL
Inne
Niedostatki metod -> rozwiązania dedykowane dla wybranych usług np. WWW, ftp itp.
Architektura IPSec
Właściwości
Szkielet umożliwiający zastosowanie różnych usług zabezpieczających transfer danych
Funkcjonuje w warstwie sieciowej
Może być wykorzystywany przez protokół IPv4 i IPv6
Daje systemowi możliwość wybory protokołu i algorytmów do zabezpieczonego połączenia typu punkt-punkt
IPSec dostępne funkcje
Weryfikacja źródłą pochodzenia datagramu ( eliminacja możności zmiany adresu źródłowego pakietu)
Bezpołączeniowa weryfikacja integralność datagramu (zabezpieczenie przed modyfikacją zawartości pakietu)
Zabezpieczenie zawartości pakietu przed odczytem ( stosowanie różnych metod kryptograficznych
IPSec wykorzystanie technologie
Algorytm wymiany kluczy Diffie’go-Gellmana
Infrastruktura klucza publicznego do negocjacji klucza sesji
Algorytmy szyfrowania danych DES
Algorytm generowania skrótów typu MD5 i SHA
Cyfrowe certyfikaty
Komponenty IPSec
Relacja zabezpieczeń (Security Association)
Metoda kapsułkowania pakietów – nagłówki AH (authentication Header) i ESP (Encapsulation Security Payload)
Bazy danych zabezpieczeń:
BD zasad bezpieczeństwa (SPD-security Policy database)
BD relacji zabezpieczeń (SAD – security association database)
Zarządzanie kluczami kryptograficznymi
Relacja zabezpieczeń
Określa zależno,śći bezpieczeństwa pomiędzy jednostkami
Określa sposób© wykorzystania mechanizmów zabezpieczeń
Jest jednokierunkowa
Identyfikatorem relacji SPI (Security Parameter Index) przechowywany w bazie danych SAD
Nagłówek AH
Właściwości:
Bezpołączeniowa integralność datagramy (ang. Connectionless integrity)
Wiarygodność źródła danych ( ang. Data origin authentication)
Usługa „anti-replay”
Uwiarygodnienie danych pakietu i niezmiennych pół nagłówka