Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Οικονομικό Πανεπιστήμιο Αθηνών

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Οικονομικό Πανεπιστήμιο Αθηνών"— Μεταγράφημα παρουσίασης:

1 Οικονομικό Πανεπιστήμιο Αθηνών
Τμήμα Πληροφορικής ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS Παρουσίαση πτυχιακής εργασίας από την Αρέθα Χριστίνα υπό την επίβλεψη του καθηγητή κ.Πολύζου ΑΘΗΝΑ 2009

2 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
Αντικείμενο εργασίας Μελέτη και επέκταση της λειτουργικότητας του λογισμικού αναγνώρισης κακόβουλων διαδικτυακών εξυπηρετητών Capture-HPC Client Honeypot/Honeyclient και η χρήση του σε μία αρχιτεκτονική ασφάλειας. Στόχος εργασίας Υλοποίηση διεπαφής για την επικοινωνία μεταξύ του Capture-HPC και τρίτων εφαρμογών παρέχοντας με αυτόν τρόπο ένα ευέλικτο αρχιτεκτονικό μοντέλο ασφάλειας.

3 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
Σύστημα το οποίο προσελκύει τους επιτιθέμενους με στόχο τον εντοπισμό τους, την καταγραφή της δραστηριότητάς τους και τη συλλογή πληροφοριών σχετικών με το λογισμικό που χρησιμοποιούν. «Ένα honeypot αποτελεί έναν πόρο πληροφοριακών συστημάτων, του οποίου η αξία έγκειται στην μη εξουσιοδοτημένη ή παράνομη χρήση του συγκεκριμένου πόρου.» Lance Spitzner

4 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
1990/1991: Clifford Stoll’s “The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage” 1990/1991: Bill Cheswick’s “An Evening with Berferd in Which a Cracker Is Lured, Endured, and Studied” Ωστόσο, η ιδέα των συστημάτων honeypots είχε εμφανιστεί νωρίτερα και σημαντική ερευνητική δραστηριότητα είχε πραγματοποιηθεί από στρατιωτικούς, κυβερνητικούς και επιχειρηματικούς οργανισμούς.

5 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
Με κριτήριο τον επιτρεπτό βαθμό δραστηριότητας του επιτιθέμενου Χαμηλής αλληλεπίδρασης honeypots (low interaction honeypots) Εξομοιώνουν πληροφοριακά συστήματα και υπηρεσίες. Υψηλής αλληλεπίδρασης honeypots (high interaction honeypots) Αποτελούν πραγματικά πληροφοριακά συστήματα. Με κριτήριο το είδος της επίθεσης που δέχονται Server honeypots Ανιχνεύουν και παρακολουθούν τις επιθέσεις των εισβολέων (“black hats”) εναντίον των εξυπηρετητών (server-side attacks). Client honeypots Ανιχνεύουν και παρακολουθούν τις επιθέσεις κακόβουλων εξυπηρετητών εναντίον των χρηστών (client-side attacks).

6 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
Χαρακτηριστικά των client honeypots Απαιτούν ενεργητική αλληλεπίδραση με τους εξυπηρετητές. Διακρίνουν τους εξυπηρετητές ανάλογα με τη φύση της δραστηριότητας τους σε καλόβουλους και κακόβουλους (benign/malicious servers). Η αρχιτεκτονική τους διαμορφώνεται από τα εξής συστατικά στοιχεία: Μία οντότητα που είναι υπεύθυνη για τη δημιουργία μίας λίστας εξυπηρετητών με τους οποίους πρόκειται να επικοινωνήσει ένας πελάτης Τον πελάτη που επικοινωνεί με τους εξυπηρετητές Έναν μηχανισμό ανάλυσης των γεγονότων του συστήματος του πελάτη στη διάρκεια της αλληλεπίδρασης που διακρίνει τους εξυπηρετητές σε καλόβουλους και κακόβουλους Εφαρμόζουν μία στρατηγική ασφάλειας, ώστε να αποτραπεί οποιαδήποτε κακόβουλη δραστηριότητα εκτός των ορίων τους. Συνήθως χρησιμοποιούνται: Τοίχοι προστασίας (firewalls) Εξειδικευμένα εικονικά συστήματα (virtual machines)

7 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
Capture-HPC Client Honeypot/Honeyclient (1/3) Είναι ένα υψηλής αλληλεπίδρασης και ανοιχτού κώδικα client honeypot, το οποίο αναπτύχθηκε στο Victoria University του Wellington από τους Christian Seifert και Ramon Steenson στα πλαίσια του Honeynet Project. Αναγνωρίζει κακόβουλους διαδικτυακούς εξυπηρετητές εξομοιώνοντας πλήρως τη συμπεριφορά ενός πελάτη (π.χ. του Web browser). Για ένα σύνολο URLs εκκινεί ένα ή περισσότερα εξειδικευμένα εικονικά συστήματα που θα αλληλεπιδράσουν με τους εξυπηρετητές ιστοσελίδων. Διαπιστώνει αν ένας εξυπηρετητής είναι κακόβουλος παρακολουθώντας τις μεταβολές που προκλήθηκαν στο εικονικό σύστημα στη διάρκεια της αλληλεπίδρασης. Έχει τη δυνατότητα να συλλέξει λογισμικό κακόβουλου περιεχομένου που, ενδεχομένως, έχει προσκομιστεί από τον εξυπηρετητή και έχει εγκατασταθεί στο εικονικό σύστημα. Διακρίνεται μεταξύ των client honeypots για την σχετικά υψηλή ταχύτητά του. Οι μεταβολές των εικονικών συστημάτων ανιχνεύονται μέσω ενός μοντέλου ελέγχου καθοδηγούμενο από τα γεγονότα (event-based model).

8 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
Capture-HPC Client Honeypot/Honeyclient (2/3) Η αρχιτεκτονική του δομείται από: Το πρόγραμμα του Capture Server Εκκινεί και διακόπτει τη λειτουργία των Capture Clients. Διανέμει τα προς εξέταση URLs στους Capture Clients, οι οποίοι θα αλληλεπιδράσουν με τους εξυπηρετητές των αντίστοιχων ιστοσελίδων. Συγκεντρώνει πληροφορίες σχετικές με τη δραστηριότητα των διαδικτυακών εξυπηρετητών. Το πρόγραμμα του Capture Client Αλληλεπιδρά με διαδικτυακούς εξυπηρετητές σύμφωνα με τις οδηγίες του server. Στη διάρκεια της αλληλεπίδρασης παρακολουθεί το σύστημα αρχείων, το μητρώο και τις διεργασίες που εκτελούνται και διακρίνει τις μεταβολές του συστήματος σε επιτρεπτές και μη επιτρεπτές σύμφωνα με ειδικές λίστες γεγονότων. Προωθεί στον server τα αποτελέσματα της εξέτασης. Αποκαθιστά το σύστημά του στην περίπτωση παραβίασης.

9 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
Capture-HPC Client Honeypot/Honeyclient (3/3) Αποτελέσματα έρευνας με τη χρήση του Capture-HPC και εξελίξεις στο πεδίο των υψηλής αλληλεπίδρασης client honeypots Σύμφωνα με έρευνες, τα υψηλής αλληλεπίδρασης client honeypots αδυνατούν να εντοπίσουν όλους τους κακόβουλους διαδικτυακούς εξυπηρετητές, διότι: Πολλοί κακόβουλοι εξυπηρετητές ιστοσελίδων χρησιμοποιούν την μέθοδο IP tracking και επιτίθενται μόνο σε πελάτες με τους οποίους δεν έχουν αλληλεπιδράσει στο παρελθόν. Μία από τις δημοφιλέστερες τεχνικές επιθέσεις των εξυπηρετητών HTTP είναι η τεχνική fast-flux, η οποία επιτρέπει την ταχύτατη αλλαγή των διευθύνσεων τους. Τα client honeypots ανιχνεύουν drive-by-download επιθέσεις, ενώ δεν αναγνωρίζουν κακόβουλες ιστοσελίδες που απαιτούν την ενεργητική αλληλεπίδραση του χρήστη. Προτείνεται ο συνδυασμός μίας ευριστικής μεθόδου και ενός υψηλής αλληλεπίδρασης client honeypot σε ένα υβριδικό σύστημα. Η ευριστική μέθοδος αξιολογεί τη συμπεριφορά του εξυπηρετητή HTTP εξετάζοντας την αρχική απάντησή του (HTTP response) στην αίτηση του πελάτη, ώστε να ανιχνευθεί ύποπτος κώδικας. Όμως, η ευριστική χαρακτηρίζεται από υψηλό ποσοστό λανθασμένων θετικών αποτελεσμάτων (false positives). Το client honeypot αξιολογεί τα θετικά αποτέλεσμα της ευριστικής μεθόδου.

10 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
Σχετική επιστημονική δραστηριότητα στο πεδίο των υψηλής αλληλεπίδρασης client honeypots MITRE’s HoneyClient Το πρώτο υψηλής αλληλεπίδρασης και ανοιχτού κώδικα client honeypot. Ανιχνεύει τις επιθέσεις εξετάζοντας συγκεκριμένα αρχεία, καταλόγους και τις μεταβολές του μητρώου. Ενσωματώνει τον μηχανισμό ελέγχου πραγματικού χρόνου του Capture-HPC και έναν Web crawler. Web Exploit Finder Ανιχνεύει τις επιθέσεις αξιολογώντας τις μεταβολές του λειτουργικού συστήματος. Παρακολουθεί και εξετάζει τις κλήσεις του συστήματος. Shelia Εξετάζει το σύνολο των s ενός φακέλου που ορίζεται από τον χρήστη. Ανιχνεύει τις επιθέσεις αναγνωρίζοντας τις διεργασίες που ενδέχεται να εκτελέσουν εντολές στην περιοχή δεδομένων της μνήμης. Το σύστημα παραβιάζεται μόνο στην περίπτωση ανάκτησης κακόβουλου κώδικα.

11 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
Υλοποίηση διεπαφής του Capture-HPC με προγράμματα εφαρμογών(1/4) Η υλοποίηση ενός προσιτού στη χρήση του API καθιστά δυνατή τη συμμετοχή του Capture-HPC σε ευρύτερες αρχιτεκτονικές ασφάλειας. Αρχιτεκτονική σχεδίαση διεπαφής Ο τύπος αλληλεπίδρασης μεταξύ του Capture-HPC και της συνεργατικής εφαρμογής είναι το μοντέλο πελάτη-εξυπηρετητή (client-server model). Ο server αποτελεί προσαρμογή και επέκταση του προγράμματος του Capture Server. Συγκεκριμένα: Διαχειρίζεται τους Capture Clients. Δέχεται αιτήσεις εξέτασης URLs από τους clients, τις επεξεργάζεται και στέλνει τις απαντήσεις στους clients χωρίς να τερματίζει ποτέ. Προ-επεξεργάζεται το URL με τη χρήση ενός Web crawler, ο οποίος αναγνωρίζει τα internal links της αντίστοιχης ιστοσελίδας και τα εισάγει στην ουρά αναμονής των προς εξέταση URLs. Αν κάποιο-α από αυτά χαρακτηριστεί malicious, τότε και το αρχικό URL χαρακτηρίζεται malicious. Έχει τη δυνατότητα να επεξεργάζεται ταυτόχρονες αιτήσεις διαφορετικών clients. Ο client είναι οποιαδήποτε εφαρμογή, ενδεχομένως απομακρυσμένη, που επικοινωνεί με τον server. Συνδέεται με τον server, στέλνει μία αίτηση εξέτασης URL και περιμένει την επιστροφή του αποτελέσματος.

12 Αρχιτεκτονικό μοντέλο συστήματος
ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS Υλοποίηση διεπαφής του Capture-HPC με προγράμματα εφαρμογών(2/4) Capture-HPC Request Request Request Response Benign Server Client Application Request Response Response Capture Server Capture Clients Clients Attack Malicious Server Αρχιτεκτονικό μοντέλο συστήματος

13 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
Υλοποίηση διεπαφής του Capture-HPC με προγράμματα εφαρμογών(3/4) Αναγκαιότητα προσαρμογής και επέκτασης του κώδικα του Capture Server Τα δεδομένα εισόδου (λίστα URLs) καταγράφονται από τον χρήστη σε ένα αρχείο πριν την εκκίνηση του προγράμματος, το οποίο δεσμεύεται από την εφαρμογή. Η αρχιτεκτονική σχεδίαση απαιτεί τη δυναμική ενημέρωση της λίστας των προς εξέταση URLs. Η σχεδίαση του Capture Server δεν επιτρέπει την εξυπηρέτηση περισσότερων από ενός χρήστη. Η αρχιτεκτονική σχεδίαση προβλέπει την παράλληλη επεξεργασία αιτήσεων διαφορετικών πελατών.

14 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
Υλοποίηση διεπαφής του Capture-HPC με προγράμματα εφαρμογών(4/4) Χαρακτηριστικά υλοποίησης διεπαφής Το πρόγραμμα του server είναι γραμμένο σε Java. Η επικοινωνία μεταξύ του server και του client διεξάγεται σύμφωνα με ένα πρωτόκολλο μηνυμάτων κειμένου στα πλαίσια μίας σύνδεσης TCP.

15 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
Χρήση του API στην υλοποίηση μίας αρχιτεκτονικής ελέγχου s(1/3) Ως ένα παράδειγμα χρήσης του API, ώστε τρίτες εφαρμογές να επικοινωνούν με το Capture-HPC, παρουσιάζεται ένα σύστημα ελέγχου s. Περιγραφή και αρχιτεκτονικό σχέδιο συστήματος Το σύστημα αποτελείται από τα εξής δομικές οντότητες: Mozilla Thunderbird client Αποτελεί τη front-end εφαρμογή με την οποία αλληλεπιδρά ο χρήστης. Η λειτουργικότητα του επεκτείνεται, μέσω ενός JavaScript extension, ώστε να επιτρέπει την εξέταση των URLs που συμπεριλαμβάνονται σε ένα και την ενημέρωση του χρήστη, αν υπάρχει ενδεχόμενο επίθεσης στην περίπτωση που επισκεφθεί μία από τις αντίστοιχες ιστοσελίδες. Apache HTTP Server Παρέχει την υπηρεσία του Capture-HPC μέσω του μηχανισμού CGI. Παράγει δυναμικά την απάντηση σε μία αίτηση ελέγχου URL με την εκτέλεση ενός CGI script, το οποίο επικοινωνεί με το πρόγραμμα του Capture Server. Capture-HPC Πραγματοποιεί την εξέταση των URLs.

16 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
Χρήση του API στην υλοποίηση μίας αρχιτεκτονικής ελέγχου s(2/3) Capture-HPC Request URLs Checking Request URLs Checking Request URLs Visiting Request Benign Server Response URLs inspection results URLs inspection results URLs inspection results Request Capture Clients Capture Server Mozilla Thunderbird client Apache HTTP Server Attack Malicious Server Αρχιτεκτονική συστήματος ελέγχου s

17 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
Χρήση του API στην υλοποίηση μίας αρχιτεκτονικής ελέγχου s(3/3) Ο χρήστης ενημερώνεται για το αποτέλεσμα της εξέτασης των περιεχόμενων URLs στο

18 Αποτελέσματα εξέτασης URLs
ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS Αποτελέσματα εξέτασης ιστοσελίδων με τη χρήση του Capture-HPC Εξετάστηκαν 1,214 ιστοσελίδες που ανήκουν σε λίστες κακόβουλων ιστοσελίδων του Παγκόσμιου Ιστού. Αποτελέσματα εξέτασης URLs

19 ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΕΝΤΟΠΙΣΜΟΥ ΚΑΚΟΒΟΥΛΩΝ ΔΙΑΔΙΚΤΥΑΚΩΝ ΕΞΥΠΗΡΕΤΗΤΩΝ ΜΕ ΧΡΗΣΗ ΤΕΧΝΟΛΟΓΙΩΝ HONEYPOTS
Ιδέες επέκτασης του αρχιτεκτονικού μοντέλου και μελλοντικής δραστηριότητας Επέκταση του Web crawler, ώστε να εξετάζεται το domain στο οποίο ανήκει το κάθε URL. Αξιοποίηση του Web crawler, ώστε να ανατροφοδοτείται η ουρά αναμονής του Capture-HPC με URLs ιστοσελίδων μέχρι κάποιο συγκεκριμένο βάθος. Ενσωμάτωση της λειτουργικότητας του Capture-HPC σε mail servers. Ενσωμάτωση της λειτουργικότητας του Capture-HPC σε proxy servers.

20 Σας ευχαριστώ


Κατέβασμα ppt "Οικονομικό Πανεπιστήμιο Αθηνών"

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google