ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΣΕΡΡΩΝ ΣΧΟΛΗ ΤΕΧΝΟΛΟΓΙΚΩΝ ΕΦΑΡΜΟΓΩΝ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ & ΕΠΙΚΟΙΝΩΝΙΩΝ με θέμα ‘’ ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗΣ ΕΙΣΒΟΛΩΝ ΣΕ ΔΙΚΤΥΑ_ ΜΙΑ ΕΦΑΡΜΟΓΗ ΤΟΥ ΛΟΓΙΣΜΙΚΟΥ SNORT ΣΤΟ ΠΕΡΙΒΑΛΛΟΝ ΤΟΥ ΔΙΚΤΥΟΥ ΤΟΥ ΤΕΙ ΣΕΡΡΩΝ’’ Σπουδαστής: ΜΑΙΟΣ 2013 Ζουναράκης Βησσαρίων

ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ ΔΙΚΤΥΑ ΑΣΦΑΛΕΙΑ ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ εμπιστευτικότητα Σύνδεση οργανισμών, πανεπιστημίων, φορέων Δημιουργία μεγάλων οργανισμών, φορέων, πανεπιστημίων κ.α. Αύξηση αναγκών Ραγδαία ανάπτυξη των δικτύων Αύξηση παραβίασης Χρόνος Ανάγκη για ασφάλεια ΔΙΚΤΥΑ ΑΣΦΑΛΕΙΑ εμπιστευτικότητα ιδιωτικοποίηση Μυστικότητα ακεραιότητα διαθεσιμότητα ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ Πολιτικές ασφάλειας Πρότυπα ISO ISO 27002 (update 17799) Εξοπλισμός software/hardware Λανθασμένη εγκατάσταση, Παλαιότητα λογισμικού κ.α. κανόνες Λανθασμένη παραμετροποίηση, Bugs, patches κ.α. Ενέργειες Ελλιπής εκπαίδευση του χρήστη

Λογισμικό απομάκρυνσης ιών (Anti-virus software) ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ 4) ΣΥΝΙΣΤΩΣΑ ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ Πολιτικές ασφάλειας Εξοπλισμός software/hardware κανόνες Ενέργειες Σύστημα ανίχνευσης εισβολών (IDS) 6)ΣΥΝΙΣΤΩΣΑ Τείχος προστασίας (Firewall) 5)ΣΥΝΙΣΤΩΣΑ Λογισμικό απομάκρυνσης ιών (Anti-virus software) 3)ΣΥΝΙΣΤΩΣΑ Αντίγραφα ασφαλείας 2)ΣΥΝΙΣΤΩΣΑ Κρυπτογραφικές τεχνικές 1)ΣΥΝΙΣΤΩΣΑ ΔΙΚΤΥΑ Ο παράλληλος ΣΥΝΔΥΑΣΜΟΣ όλων των συνιστωσών της ασφάλειας επιφέρει τα καλύτερα δυνατά αποτελέσματα!

Δυσάρεστες συνέπειες όπως ΤΥΠΟΙ ΕΠΙΘΕΣΕΩΝ Ιοί (Virus) Δούρειοι Ίπποι Άρνηση εξυπηρέτησης (DoS-Denial of Service) Μέθοδος του μεσάζοντα (Man in middle) Σκουλήκια (Worms) «Μέσω επικοινωνιακών μέσων» (social engineering) ΠΙΘΑΝΟΤΕΡΟΙ ΤΥΠΟΙ ΕΠΙΘΕΣΕΩΝ ΔΙΚΤΥΑ οδηγούν σε Δυσάρεστες συνέπειες όπως Οικονομικές απώλειες Σπατάλη χρόνου για αποκατάσταση του συστήματος Πλήγμα της αξιοπιστίας

ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗΣ ΕΙΣΒΟΛΩΝ (Intrusion Detection Systems – IDS) Τι είναι; Μηχανισμός ανίχνευσης εισβολών και δικτυακής κίνησης Παθητικό σύστημα (μόνο υπόδειξη κάποιας επίθεσης) IDS Ο ρόλος του: να τρέχει συνεχώς με ελάχιστη ανθρώπινη παρακολούθηση να αντιμετωπίζει σφάλματα που μπορούν να συμβούν να μην μπορεί να καταστραφεί να επηρεάζει ελάχιστα την απόδοση του υπολογιστή να είναι διαμορφώσιμο να προσαρμόζεται με ακρίβεια στο δίκτυο να είναι ανεξάρτητο λειτουργικό σύστημα να μπορεί να προσαρμοστεί σε αλλαγές του δικτύου ή του συστήματος να μπορεί να ανιχνεύσει επιθέσεις Κατηγοριοποίηση των IDS:

ΣΥΣΤΗΜΑΤΑ ΑΝΙΧΝΕΥΣΗΣ ΕΙΣΒΟΛΩΝ (Intrusion Detection Systems – IDS) Παράδειγμα 1: ένα NIDS σύστημα Πηγές Δεδομένων Ελέγχου Network-based IDS (NIDS) -Παρακολουθούν την κίνηση συνολικά του δικτύου ή ένα κομμάτι. -Είναι τα πιο διαδεδομένα. Host-based IDS (HIDS) -Εξετάζουν τον κάθε κόμβο χωριστά. - Υπάρχει «πλήρης» εποπτεία των συμβάντων κάθε χρονική στιγμή θεωρούνται πιο ισχυρά Υβριδικά IDS (Hybrid IDS) - Συνδυασμός των άλλων δύο. - Λειτουργούν σαν NIDS, αλλά εξετάζουν μόνο τον εκάστοτε κόμβο. ΕΙΔΗ IDS _ ΜΕ ΒΑΣΗ ΤΗ ΛΕΙΤΟΥΡΓΙΑ Παράδειγμα 2: ένα ΗIDS σύστημα

ΤΕΧΝΙΚΕΣ ΑΝΙΧΝΕΥΣΗΣ ΤΩΝ IDS ΜΕΘΟΔΟΙ 2 ΕΙΔΗ Ανίχνευση διαταραχών (anomaly detection) Δημιουργούν ένα προφίλ δραστηριότητας με βάση στατιστικών Τυχόν παρέκκλιση θεωρείται επίθεση Ανίχνευση κακής συμπεριφοράς (Missuse detection) Λειτουργεί με βάση ένα πρότυπο-κανόνα, ο οποίος είναι προκαθορισμένο «σχέδιο επίθεσης». Το συγκρίνει και αν ταιριάζει Θεωρείται επίθεση

ΤΟ ΛΟΓΙΣΜΙΚΟ SNORT SNORT ids Δωρεάν λογισμικό ανοιχτού κώδικα Τι είναι; Δωρεάν λογισμικό ανοιχτού κώδικα Δημιουργήθηκε από τον Martin Roesch, το 1998 Είναι γραμμένο στη γλώσσα προγραμματισμού C Τρέχει σε όλα σχεδόν τα προγράμματα υπολογιστών (Cross-platform) SNORT ids Τρόποι λειτουργίας: Sniffer mode (Αναλυτής κίνησης δικτύου) εκτελεί μία απλή καταγραφή κίνησης του δικτύου Packet logger mode (Καταγραφικό πακέτων) καταγράφει τα πακέτα που διαβάζει από το δίκτυο στο δίσκο. Αυτή η λειτουργία βοηθά σε περιπτώσεις όπου απαιτείται η λεπτομερής εξέταση των πακέτων που αναγιγνώσκονται. Network Intrusion Detection System – NIDS mode (Ανίχνευση εισβολής σε δίκτυο) συγκρίνει την κίνηση του δικτύου μ’ ένα προκαθορισμένο σύνολο υπογραφών που είναι γνωστές ως κανόνες, όπου ορίζονται από τον χρήστη και εκτελεί διάφορες ενέργειες με βάση ότι έχει εντοπίσει. Κριτήρια Επιλογής του Snort IDS: Εκτελεί σε πραγματικό χρόνο ανάλυση της κίνησης και την καταγραφή πακέτων σε Internet protocol (IP) δίκτυα Ανίχνευση μεγάλου εύρους επιθέσεων (buffer overflow, scan port, κτλ) Δεν υπάρχουν απαιτήσεις πόρων του συστήματος Συχνές ενημερώσεις του λογισμικού δωρεάν Εύκολα διαμορφώσιμο (δυνατότητα στο χρήστη να δημιουργεί δικούς του κανόνες-rules, να αλλάζει τη βάση μέσα από τη λειτουργία plug-ins κ.α.)

Η ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΤΟΥ SNORT δημιουργεί και καταγράφει το συμβάν σε επιθυμητή μορφή (ειδοποίηση) είναι ανεξάρτητο τμήμα του λογισμικού Snort χρησιμοποιείται σε διαφορετικά λειτουργικά συλλέγει τα πακέτα σε ακατέργαστη μορφή μη επιτρέποντας στο εκάστοτε λειτουργικό σύστημα την αλλαγή σε αυτά χρησιμοποιεί την ιδιότητα της ενθυλάκωσης είναι μία σειρά από αποκωδικοποιητές ο καθένας αποκωδικοποιεί συγκεκριμένα στοιχεία των πρωτοκόλλων τα αποτελέσματα δομούνται με τη μορφή struct_Packet και μετά προωθούνται στο επόμενο στάδιο επεξεργασίας ΣΤΑΔΙΑ ΕΠΕΞΕΡΓΑΣΙΑΣ ΕΝΟΣ ΔΙΚΤΥΑΚΟΥ ΠΑΚΕΤΟΥ είναι plug-ins του Snort χρήση: α) έλεγχος των πακέτων για ύποπτη δραστηριότητα β) επεξεργασία πακέτων καλούνται προς εκτέλεση μία μόνο φορά για κάθε πακέτο ενεργοποίηση/απενεργοποίηση: α) κατά βούληση του διαχειριστή β) χωρίς να επηρεαστεί το υπόλοιπο σύστημα επεξεργασίας

ΚΕΝΤΡΙΚΟΣ ΚΑΤΑΝΕΜΗΤΗΣ ΕΡΓΑΣΤΗΡΙΑΚΟ ΜΕΡΟΣ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΤΟΥ ΤΕΙ ΣΕΡΡΩΝ ΚΕΝΤΡΙΚΟΣ ΚΑΤΑΝΕΜΗΤΗΣ ΑΙΘΟΥΣΑ ΑΙΘΟΥΣΑ ΕΦΑΡΜΟΓΗΣ SWITCH ΕΦΑΡΜΟΓΗ ΚΤΙΡΙΟ ΠΟΛΛΑΠΛΩΝ ΧΡΗΣΕΩΝ SWITCH ΕΠΙΤΙΘΕΜΕΝΟΣ Η/Υ ΜΕ ΧΡΗΣΗ NMAP Η/Υ ΜΕ ΕΓΚΑΤΕΣΤΗΜΕΝΟ ΤΟ SNORT SWITCH SWITCH ΧΡΗΣΗ NMAP ΝΟΜΙΜΕΣ ΕΙΚΟΝΙΚΕΣ ΕΠΙΘΕΣΕΙΣ με σάρωση: Δικτυακών θυρών TCP (TCP port Scan) Πακέτων UDP (UDP Scan) Πακέτων ΙCMP μέσω ping (Ping scan) Έντονη χωρίς ping (Intense scan, no ping)

ΕΡΓΑΣΤΗΡΙΑΚΟ ΜΕΡΟΣ ΕΦΑΡΜΟΓΗ Ρύθμιση και Δημιουργία Κανόνων για την ανίχνευση των επιθέσεων Πακέτο Πρωτόκολλων icmp ΕΦΑΡΜΟΓΗ Πακέτο Πρωτόκολλων udp Στην συνέχεια για την ανίχνευση των επιθέσεων tcp θυρών θα χρειαστεί να δημιουργηθούν κανόνες, όπως η μορφή:

ΕΡΓΑΣΤΗΡΙΑΚΟ ΜΕΡΟΣ ΕΦΑΡΜΟΓΗ Επιθέσεις με το NMAP Εσωτερικά του Δικτύου Στο αρχείο local.rules: ΕΦΑΡΜΟΓΗ Επιθέσεις με το NMAP Εσωτερικά του Δικτύου 1) ΕΠΙΘΕΣΗ ΜΕ ΣΑΡΩΣΗ ΔΙΚΤΥΑΚΩΝ ΘΥΡΩΝ TCP Για την θύρα 80 Εντολή: nmap –sV –sT –p T:80 83.212.59.188 Αποτέλεσμα: Για την θύρα 135 Εντολή: nmap –sV –sT –p T:135 83.212.59.188 Αποτέλεσμα:

ΕΡΓΑΣΤΗΡΙΑΚΟ ΜΕΡΟΣ ΕΦΑΡΜΟΓΗ Επιθέσεις με το NMAP Εσωτερικά του Δικτύου 2) ΕΠΙΘΕΣΗ ΜΕ ΣΑΡΩΣΗ ΠΑΚΕΤΩΝ UDP Εντολή: nmap –sS –sU –T4 –A –v 83.212.59.188 Αποτέλεσμα: ΕΦΑΡΜΟΓΗ 3) ΕΠΙΘΕΣΗ ΜΕ ΣΑΡΩΣΗ ΠΑΚΕΤΩΝ ICMP μέσω PING Εντολή: nmap -sn 83.212.59.188 Αποτέλεσμα: Επιθέσεις με το NMAP Εξωτερικά του Δικτύου ! ΔΕΝ ΑΝΙΧΝΕΥΤΙΚΕ ΚΑΜΙΑ ΕΠΙΘΕΣΗ Σωστή Αρχιτεκτονική Ασφάλειας του Δικτύου (Σωστά ρυθμισμένη η πρώτη γραμμή άμυνας – Firewall Αποτροπή ανεπιθύμητων ενεργειών) λόγω

Ευχαριστώ ΕΡΓΑΣΤΗΡΙΑΚΟ ΜΕΡΟΣ Συμπεράσματα ! Άριστη λειτουργία του Snort στο εργαστηριακό περιβάλλον ! Προσφέρει αρκετά υψηλή προστασία σε ένα δίκτυο ! Δεν ελέγχεται το σύνολο των κανόνων του Snort (2500 κανόνες) ! Ανίχνευση εισβολέων εντός και εκτός του ΤΕΙ Σερρών άριστη θωράκιση Επιλέχθηκαν ενδεικτικά τρόποι επιθέσεων (βρίσκονται εύκολα στο διαδίκτυο) ΑΠΟΤΕΛΕΣΜΑΤΑ Ευχαριστώ