Wykład 7 28-11-2012
Sposoby reakcji:
Alarmowanie
Blokowanie transmisji w ramach systemu IPS
Opcja Drop
Opcja Reset
Blokowanie określonej transmisji przez określony czas
Blokowanie określonej transmisji przekraczającej określone wartości progowe
Współpraca z zaporami sieciowymi (dopisywanie dynamicznych reguł do zapór sieciowych)
Rodzaje systemów (IDS/IPS) ze względu na miejsce instalacji/wdrożenia
Zainstalowane na hostach „host based” (HIDS/HIPS)
Instalowane w oprogramowaniu hosta analizują:
Transmisje przychodzące i wychodzące z hosta
Działanie użytkownika (próby logowania, zainstalowania aplikacji, itp.)
Zdarzenia systemowe (np. uruchomienie określonych procesów, usuwanie/modyfikację środowiska (plików))
Zalety:
Blokowanie szkodliwych działań u źródła
Dobra inspekcja pakietów pofragmentowanych
Możliwość analizy ruchu, który przez sieć jest przesyłany w postaci zaszyfrowanej (VPN, SSL)
Wady:
Ograniczone (lokalne) postrzeganie działań w sieci komputerowej (np. nie zawsze wykryty zostanie atak DDoS – przyjmując, że monitorowany host jest źródłem ataku a nie celem)
Kłopotliwe zarządzanie
Przykład:
Cisco Security Agent
Zainstalowane na urządzeniach sieciowych „network based” (NIDS/NIPS)
System zbiera ruch sieciowy z monitorowanej sieci (poprzez odpowiednie włączenie do sieci komputerowej i analizowanie wszystkiego co tam trafia)
Zalety
System ma scentralizowany charakter
Rozw….
Brak możliwości analizowania polaczen szyfrowanych
Rodzaje systemów ze względu na sposób działania
Network based – „On-line”
System nasłuchujący transmisji sieciowej stoi „z boku”, np. jest podłączony poprzez port monitorowane na przełączniku. Po wykryciu nadużycia może jedynie informować o tym.
Network based – „In-line”
Systemy „stojące” na rzeczywistej drodze analizowanej transmisji sieciowej, przez co możliwe jest natychmiastowe działanie i analizowanie.
Sygnatury
Sygnatura – opis charakterystycznych elementów poszczególnych ataków na sieć
Sygnatury atomowe – na podstawie analizy jednego pakietu
Sygnatury złożone(statefull) – kilka występujących po sobie pakietów dostarcza inf czy mamy do czynienia z atakiem
Skuteczność IDS/IPS zależy m.in. od sygnatur
Sposoby aktualizacji sygnatur:
Automatyczne
Manualne
Kryteria oceny rozwiązań klasy IPS/IDS
Oceniać i porównywać systemy IDS/IPS można biorąc pod uwagę ich:
Funkcje
Wydajność
Sposób administrowania (elastyczność zasad konstruowania polityk)
Możliwość współpracy z innymi systemami, protokołami
Przykładowe dodatkowe funcje systemów IDS/IPS:
Możliwość pracy w trybie transparentnym
Funkcjonalność „honey-pot” z zapisywaniem sesji ewentualnego włamywacz
Funkcja „Bypass” – pozwalająca na połączenie interfejsów wejściowych z wyjściowymi w przypadku awarii urządzenia
Możliwość wyboru sposobu aktualizowania bazy ataków
Możliwość dodawania autorskich sygnatur
Wykrywanie nieautoryzowanych komputerów podłączonych do sieci komputerowej
Wykrywanie systemów i aplikacji podatnych na błędy bezpieczeństwa
Przy rozwiązaniach zdecentralizowanych możliwość szyfrowania ruchu pomiędzy sondami a stacją zarządzającą i zbierającą inf
Produkty alernatywne / uzupełniające w zakresie transmisji
Filtry aplikacyjne (WAF – Web Application Firewall), np Imperva SecureSphere, F5 BIG IP
Zapory sieciowe, a takze systemy IDS/IPS najczęściej mają ograniczone możliwości w zakresie blokowania ataków wykorzystującuch błędy logiczne aplikacji Web I baz danych:
Manipulowanie i zmiany wartości parametrów aplikacji (URL, formatki)
Fuzzing (zalewanie aplikacji losowo wybranymi eartościami)
SQL-injwction
CLI – injection
Ldap-injection
Secure Device Event Exchange – SDEE
Protokół opracowany w celu zwiększenia możliwości monitorowania urządzeń bezpieczeństwa.
Ri# config t
Ri# config)# Ip http server
Ip http secure-server
Ips notify sdee
Ip sdee events 500
Uruchomienie IPS na routerach Cisco
Konieczność posiadania odpowiedniego urządzenia I IOS-a.
Pobranie sygnatur i umieszczenie ich w pamięci Flash.
Pobranie i dołączenie do konfiguracj klucza RSA, który słyży do weryfikacji integralności pobranych sygnatur
Stworzenie reguły inspekcji IPS
R1(config)#ip ips name „nazwa”
Wskazanie lokalizacji sygnatur
R1(config)# ip ips config location flash:ips
Uaktywnienie wszystkich lub wybranych sygnatur
R1(config)# ip ips signature-category
R1(config-ips-category)# category all
R1(config-ips-category-action)# retired true
Przypisanie regły inspekcji do interfejsu
R1(cinfig-if)#ip ips „nazwa” in/out
Sprawdzenie konfiguracji IPS – cisco
R1# show run
R1# Show ip ips signature (detail)
R1# Show / clear ip ips statistics
R1# clear ip ips configuration
R1# show ip ips signature count
Dostrajanie funkcji IPS
R(config)# ip ips signature-definition
R(config-sigdef)# signature 2004 0
R(config-sigdef-sig)# status
R(config-sigdef-sig-status)# retired false
R(config-sigdef-sig-status)# enabled true
R(config-sigdef-sig)# engine
R(config-sigdef-sig-engine)# event-action produce-alert
R(config-sigdef-sig-engine)# exit
R(config-sigdef-sig)# exit
R(config-sigdef)# exit
Do you want to accept these changes?
R(config-sigdef-sig-engine)#event-action produce-alert
R(config-sigdef-sig-engine)#event-action reset-tcp-conn
Translacja adresów (NAT, PAT)
Zakresy prywatnych adresów
A – 10.0.0.0/8
B-172.16.0.0/12
C-192.168.0.0/16
Stosując NAT można zastosować:
Statyczne przypisanie adresów
Dynamiczne przydzielanie adresów
Przeciążenie adresów (PAT)
Dystrybucję obciążenia TCP
Translacja adresów
Source Network Address translation (SNAT) to technika polegajaca na zmianie adresu źródłowego pakietu IP na jakiś inny
Destination Network Address Translation (DNAT) to technika zmiany adresu docelowego IP na inny.
Statyczny wpis translacji:
Router(config)# ip nat inside source static 10.6.1.20(local-ip) 171.69.68.10 (global-ip)
Router(config)# interface type number
Router(config-if)# ip nat inside (po stronie adresów prywatnych)
Router(config-if)# ip nat outside(po stronie adresów publicznych)
Konfiguracja usług NAT – komendy:
Router(config)# ip nat pool nat-pool1 179.9.8.80 179.9.8.95 netmask 255.255.255.0
Router(config)# access-list 1 permit 10.0.0.0 0.0.0.255
Konfiguracja usług PAT
Tłumaczenie a aktualny adres interfejsu:
Router(config)# ip nat inside source list 1 interface serial0/0 overload
Tłumaczenie na adresy zdefiniowanej wcześniej puli adresowej
Router(config)# ip nat pool nat-pool2 179.9.8.0 netmask 255.255.255.0
Router(config)#ip nat inside source list 1 pool nat-pool2 overload
Weryfikacja konfiguracji NAT/PAT
Router# show ip nat translations [verbose]
Router# debug ip nat
Router# debug ip nat detailed
Usuwanie wpisów
Clear ip nat translation
Clear ip nat translation inside [outside]
Clear ip nat translation protocol inside global-ip global-port