Διαχείριση & Ασφάλεια Δικτύων Ενότητα 3: Ασφάλεια Διάλεξη 10 Πανεπιστήμιο Πελοποννήσου Τμήμα Επιστήμης & Τεχνολογίας Τηλεπικοινωνιών Διαχείριση & Ασφάλεια Δικτύων Ενότητα 3: Ασφάλεια Διάλεξη 10 Διδάσκων: Δρ. Γενειατάκης Δημήτρης email: dgen@{uop}.gr Πανεπιστήμιο Πελοποννήσου 4/11/2018

Πανεπιστήμιο Πελοποννήσου Περιεχόμενα Συστήματα ανίχνευσης εισβολών 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Επισκόπηση Επιθέσεων στο Διαδίκτυο Αντιγραφή δεδομένων Ανάκτηση συνθηματικών Πρόσβαση σε ευαίσθητα προσωπικά δεδομένα Διακοπής παροχής υπηρεσίας 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Συστήματα Ανίχνευσης Εισβολών Υπάρχουν επιθέσεις οι οποίες δεν αντιμετωπίζονται ούτε από τα αναχώματα ασφάλειας από τους υπάρχοντες μηχανισμούς ασφάλειας Απαιτούνται συστήματα ανίχνευσης εισβολών (ΣΑΕ) για να εντοπισθούν και να ληφθούν τα κατάλληλα μέτρα προστασίας ΣΑΕ αξιοποιούνται για τον εντοπισμό μη επιθυμητών ενεργειών σε ένα υπολογιστικό σύστημα 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου Κατηγορίες ΣΑΕ Προσανατολισμένα σε υπολογιστή Προσανατολισμένα στο δίκτυο Συνδιασμός 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου Κατηγορίες ΣΑΕ 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Απαιτήσεις Σχεδίασης ΣΑΕ Να εκτελείται συνεχώς Να είναι ανθεκτικό στις επιθέσεις Να ελέγχει τον εαυτό του Να προκαλεί ελάχιστη επιβάρυνση στο σύστημα που εκτελείται 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Απαιτήσεις Σχεδίασης ΣΑΕ Να διαμορφώνεται με βάση τις απαιτήσεις της πολιτικής ασφάλειας Να επιτρέπει δυναμική διαμόρφωση του συστήματος Να δύναται να ελέγχει πολλαπλά υπολογιστικά συστήματα 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Δομικά Στοιχεία ενός IDS Αισθητήρες: είναι τα συστήματα τα οποία συλλέγουν δεδομένα τα οποία αξιοποιούνται στη συνέχεια για τον προσδιορισμό ύπαρξης ή όχι επίθεσης "παρακολουθούν" στοιχεία όπως κίνηση δικτύου, μνήμη και επεξεργαστή κτλ... Αναλυτές: λαμβάνουν ως είσοδο τα δεδομένα από τους αισθητήρες για την "έκδοση" της τελικής απόφασης σχετικά με την ύπαρξη επίθεσης ή όχι 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Δομικά Στοιχεία ενός IDS Σύστημα Διαχείρισης: απεικονίζει τα αποτελέσματα των αναλυτών και τα δεδομένα που λαμβάνουν από τους αισθητήρες γραφικά για να υπάρχει πλήρης εικόνα της λειτουργίας του συστήματος 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Παράμετροι Αρχιτεκτονικής ΣΑΕ «Τοποθέτηση» των αισθητήρων για τη συλλογή των πληροφοριών Συλλογή πληροφοριών βασισμένη στον υπολογιστή Αρχεία καταγραφής Συλλογή πληροφοριών βασισμένη στο δίκτυο Τεχνικές παρακολούθησης δικτύου Συνδιαμός αυτών 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Δομικά Στοιχεία ενός IDS 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Στοιχεία εισόδου ενός ΣΑΕ Αρχεία / Δεδομένα ελέγχου τα οποία συλλέγονται από το λειτουργικό ή από το ίδιο το ΣΑΕ (τοπικά ή κατανεμημένα) 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Στοιχεία που συμπεριλαμβάνονται στα δεδομένα ελέγχου Υποκείμενο: Αρχικοποιητής των ενεργειών Ενέργεια: που εκτελέσθηκε από το υποκείμενο Αντικείμενο: το στοιχείο εκείνο στο οποίο πάνω εκτελείται η ενέργεια (αρχεία,προγράμματα κτλ) 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Στοιχεία που συμπεριλαμβάνονται στα δεδομένα ελέγχου Χρήση Πόρων: οι πόροι που χρησιμοποιήθηκαν από το συγκεκριμένο αντικέιμενο Χρονοσφραγίδα: προσδιορίζει τη χρονική στιγμή που πραγματοποιήθηκε η ενέργεια 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου Τρόπος Δημιουργίας Τέτοια στοιχεία μπορούν να δημιουργηθούν με τη χρήση εντολών του συστήματος π.χ What (w) dgen p2 - 9:51 - -bash Top Iostat ps -auxw 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Σύστημα Καταγραφής Unix Syslogd καταγράφει συμβάντα σχετικά με το λειτουργικό σύστημα Κάθε μήνυμα που καταγράφεται περιλαμβάνει την χρονική στιγμή και το όνομα του υπολογιστικού συστήματος 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Κρισιμότητα μηνυμάτων καταγραφής emerg 'panic' situations alert urgent, less than panic, situations crit 'critical' conditions err error conditions warning warning (non-error) messages notice things that may require attention info informational messages debug debugging messages 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Υποσυστήματα δημιουργίας μηνυμάτων καταγραφής kern the kernel user "user" processes (no specific) mail sendmail daemon "system" daemons, such as 'routed' auth security and authorization-related lpr BSD line-printer daemon news usenet news system uucp for the (ancient) UUCP service cron the cron daemon syslog used by syslogd itself ftp for ftp services authpriv similar to 'auth', logged to secure file 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Παράδειγμα Διαμόρφωσης Υποσυστήματος Καταγραφής στο Unix # Log all kernel messages, authentication messages of # level notice or higher and anything of level err or higher to the console. # Don't log private authentication messages! *.err;kern.*;auth.notice;authpriv.none /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* /var/log/maillog # Everybody gets emergency messages, plus log them on another # machine. *.emerg * *.emerg @arpa.berkeley.edu 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Στοιχεία που Επηρεάζουν το Σχεδιαμό και Εφαρμογή ενός ΣΑΕ Αρχιτεκτονική ΣΑΕ Τεχνική ανίχνευσης Τρόπος απόκρισης 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Γνωστά ΣΑΕ ανοιχτού κώδικα Snort (www.snort.org) Prelude (http://www.prelude-ids.com/) Αισθητήρες Σύστημα ελέγχου Bro (http://www.bro-ids.org/) 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Τεχνικές Ανίχνευσης- Βασικές Αρχές Τα υπολογιστικά συστήματα που δέχονται επίθεση πληρούν ένα από τα ακόλουθα χαρακτηριστικά Οι ενέργειες των χρηστών και των διεργασιών δεν ακολουθούν ένα pattern Οι ενέργειες των χρηστών και των διεργασιών περιλαμβάνουν ακολουθίες εντολών ενάντια στην πολιτική ασφάλειας του συστήματος Οι ενέργειες των διεργασιών δε συμμορφώνονται με ένα σύνολο προδιαγραφών που περιγράφουν επιτρεπτές ενέργειες 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου Τεχνικές Ανίχνευσης Τεχνικές μη ορθής χρήσης (misuse detection models) Τεχνικες ανίχνευσης διαταραχών(anomaly detection models) Συνδιασμός των προαναφερόμενων τεχνικών 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Τεχνικές Μη Ορθής Χρήσης Οι τεχνικές μη ορθής χρήσης συκγρίνουν ενέργειες ή καταστάσεις με ακολουθίες που είναι ήδη γνωστό ότι αποτελούν εισβολές Απαιτεί τη «γνώση» της εισβολής Βασίζεται στη δημιουργία κανόνων Χαρακτηριστική μέθοδος δημιουργιάς κανόνων αποτελεί η ανάλυση δεδομένων επίθεσης Χαρακτηριστικά παραδείγματα Ιοί (virus), στα υπολογιστικά συστήματα δε μεταλλάσονται 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Τεχνικές Mη Ορθής Χρήσης Κανόνες Αλφαριθμητικά Ακολουθία ενεργειών-γεγονότων 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Τεχνικές Μη Ορθής Χρήσης Οι κανόνες – υπογραφές μπορεί να είναι οτιδήποτε από μια σειρά bits μέχρι πολύπλοκες κανονικές εκφράσεις ή μια σειρά από γεγονότα Οποτεδήποτε δεδομενα εισόδου ταυτιστούν με ένα ή περισσότερους κανόνες τότε δημιουργείται συναγερμός 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Παράδειγμα Τεχνικής Μη ορθής Χρήσης TCP SYN alert tcp any any -> $SIP_PROXY_IP any \ (msg: "TCP SYN packet flooding from single source"; \ threshold: type both, track by_src, count 200, seconds 20; \ flow:stateless; flags:S,12; sid:5000100; rev:1;) SQL injection #DROP statement injection: alert ip any any -> $SIP_PROXY_IP $SIP_PROXY_PORTS \ (msg:"SQL Injection – Injection of DROP statement"; \ pcre:"/\'drop/ix"; \ sid: 1000510; rev:1;) 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Τεχνικές Μη Ορθής Χρήσης Στην περίπτωση ακολουθίας γεγονότων το ΣΑΕ «παρακολουθεί» την ορθότητα των καταστάσεων που βρίσκεται το υπο-εξέταση σύστημα Το κρίσιμο στοιχεί σε αυτές τις περιπτώσεις αποτελεί η ανίχνευση της μετάβασης από μια «κανονική» κατάσταση σε μια «μη κανονική» μετάβαση 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Τεχνικές Μη Ορθής Χρήσης Για παράδειγμα θεωρείστε ότι υπάρχουν τρείς καταστάσεις S1: Μη αναγνώσιμα αρχεία S2: Αναγνώσιμα αρχεία S0: Αρχική κατάσταση Ένα χρήστης με δικαιώματα όχι υπερ-χρήστη μπορεί να βρεθεί μόνο από την S0->S1 Θα μπορούσε να έχουμε ένα ΣΑΕ το οποίo να ανιχνεύει τις «συμπεριφορές» αυτές δηλ: S0->S2 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Τεχνικές Μη Ορθής Χρήσης Intrusion Patterns activities pattern matching intrusion 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Βασικά Μειονεκτήματα ΣΑΕ Μη Ορθής Χρήσης Βασικό μειονέκτημα αποτελεί το γεγονός ότι μικρές διαφοροποιήσεις στα δεδομένα εισόδου μπορούν να παραπλανήσουν το ΣΑΕ Μεγάλο αριθμό από κανόνες για τον εντοπισμό όλων των πιθανών προβλημάτων Δεν αντιμετωπίζει μη γνωστές επιθέσεις 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Τεχνικές Ανίχνευσης Διαταραχών Χαρακτηριστικές περιπτώσεις Τεχνικές τιμών κατωφλίου Τεχνικές στατιστικών ροπών 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Γενική Προσέγγιση Ανίχνευσης Διαταραχών Σε όλες τις τεχνικές ανίχνευσης διαταραχών μελετάται το σύστημα για ένα ορισμένο χρονικό διάστημα το οποίο χρησιμοποιείται ως βάση για την ανίχνευση εισβολών χρησιμοποιώντας μια από τις παραπάνω τεχνικές 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Τεχνικές Tιμών Kατωφλίου Στις συγκεκριμένες τεχνικές χρησιμοποιείται ένα διάστημα επιτρεπτών τιμών (min, max) ενός γεγονότος Για παράδειγμα στο λειτουργικό σύστημα των ΑΤΜ των τραπεζικών συστημάτων κλειδώνει την κάρτα σε περίπτωση τριών αποτυχημένων προσπαθειών εισαγωγής του PIN To βασικό πρόβλημα των τεχνικών αυτών αποτελεί ο προσδιορισμός του διαστήματος τιμών 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Τεχνικές Τιμών Κατωφλίου Συνήθως το σύστημα μελετάται για ένα χρονικό διάστημα και έπειτα καθορίζονται οι τιμές κατωφλίου Για παράδειγμα θα μπορούσε να μελετηθεί ο αριθμός των icmp μηνυμάτων που δέχεται ένα δρομολογητής σε χρονικό διάστημα μιας ώρας Οπότε σε περίπτωση όπου στο συγκεκριμένο χρονικό διάστημα ‘ξεπερασθεί’ το οριζόμενο άνω κατώφλι θα υπάρξει συναγερμός 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Τεχνικές Στατιστικών Ροπών Σε αυτήν την περίπτωση υπολογίζονται στατιστικά στοιχεία όπως Μέση τιμή Τυπική απόκλιση Έφοσον οι τιμές βρίσκονται εντός του διαστήματος εμπιστοσύνης η ενέργεια θεωρείται «φυσιολογική» Σε διαφορετική περίπτωση δημιουργείται ο κατάλληλος συναγερμός όπως στην περίπτωση των τεχνικών κατωφλίου 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Σύντομη Συγκριτική Αξιολόγηση Τεχνικών ΣΑΕ Υπάρχει σαφής διαφοροποίηση μεταξύ των μοντέλων ανίχνευσης διαταραχών και μη ορθής συμπεριφοράς Η ανίχνευση μη ορθής συμπεριφοράς ανιχνεύει τις παραβιάσεις μιας πολιτικής Η ανίχνευση διαταραχών ανιχνεύει τις παραβιάσεις του θεωρούμενου ως αναμενόμενου, οι οποίες θα μπορούσαν να παραβιάσουν ή να μη παραβιάσουν την πολιτική 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Γενική Διαδικασία Ανίχνευσης Audit Data Preprocessor Audit Records Activity Data system activities are observable Detection Models Detection Engine Alarms normal and intrusive activities have distinct evidence Decision Table Decision Engine Action/Report 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου Αποτίμηση ΣΑΕ Χρόνος απόκρισης – εντοπισού επίθεσης Αριθμός «λανθασμένων» συναγερμών (false alarms) Λανθασμένοι Θετικοί (False positive): θετικός θεωρείται ένα συναγερμός στην περίπτωση όπου μια ενέργεια ενεργοποιήσει ένα μηχανισμό ασφάλειας ενώ δε θα έπρεπε γιατί η συγκεκριμένη ενέργεια ήταν στα πλαίσια της οριζόμενης πολιτικής ασφάλειας. 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου Αποτίμηση ΣΑΕ Αριθμός «λανθασμένων» συναγερμών (false alarms) Λανθασμένοι αρνητικοί (False negative): Αρνητικός θεωρείται ένας συναγερμός στην περίπτωση όπου μια (κακόβουλη) ενέργεια δεν ενεργοποιήσει τον κατάλληλο μηχανισμό ασφαλείας Ο ρυθμός εμφάνισης των αρνητικών/θετικών συναγερμών είναι μεταξύ των βασικών στοιχείων που προσδιορίζουν την κατάλληλότητα των μηχανισμών αναγνώρισης 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου Αποτίμηση ΣΑΕ TP όχι εισβολή – όχι συναγερμός TN όχι εισβολή – συναγερμός FP εισβολή – όχι συναγερμός FN εισβολή – όχι συναγερμός Συνολικός αριθμός αποφάσεων από το IDS Ν= TP+TN+FP+FN 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πιθανότητες Αποτίμησης ΣΑΕ Πιθανότητα εμφάνισης επίθεσης Pr (A) = (FP + FN)/Ν Πιθανότητα εμφάνισης ορθών θετικών συναγερμών TPR= TP /(TP+FN) = Pr(A|In) Πιθανότητα εμφάνισης ορθών αρνητικών συναγερμών TN /(FP+TN) = Pr(not A | not In) 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πιθανότητες Αποτίμησης ΣΑΕ Πιθανότητα εμφάνισης λανθασμένων θετικών συναγερμών FP/ (FP +TN) = Pr ( A | not In) Πιθανότητα εμφάνισης λανθασμένων αρνητικών συναγερμών FNR = FN / (TP + FN) = Pr ( not A | In) 4/11/2018 Πανεπιστήμιο Πελοποννήσου

Πανεπιστήμιο Πελοποννήσου Ερωτήσεις 4/11/2018 Πανεπιστήμιο Πελοποννήσου