Διαχείριση & Ασφάλεια Δικτύων Ενότητα 3: Ασφάλεια Διάλεξη 10

Παρουσίαση με θέμα: "Διαχείριση & Ασφάλεια Δικτύων Ενότητα 3: Ασφάλεια Διάλεξη 10"— Μεταγράφημα παρουσίασης:

1 Διαχείριση & Ασφάλεια Δικτύων Ενότητα 3: Ασφάλεια Διάλεξη 10
Πανεπιστήμιο Πελοποννήσου Τμήμα Επιστήμης & Τεχνολογίας Τηλεπικοινωνιών Διαχείριση & Ασφάλεια Δικτύων Ενότητα 3: Ασφάλεια Διάλεξη 10 Διδάσκων: Δρ. Γενειατάκης Δημήτρης Πανεπιστήμιο Πελοποννήσου 4/11/2018

2 Πανεπιστήμιο Πελοποννήσου
Περιεχόμενα Συστήματα ανίχνευσης εισβολών 4/11/2018 Πανεπιστήμιο Πελοποννήσου

3 Επισκόπηση Επιθέσεων στο Διαδίκτυο
Αντιγραφή δεδομένων Ανάκτηση συνθηματικών Πρόσβαση σε ευαίσθητα προσωπικά δεδομένα Διακοπής παροχής υπηρεσίας 4/11/2018 Πανεπιστήμιο Πελοποννήσου

4 Συστήματα Ανίχνευσης Εισβολών
Υπάρχουν επιθέσεις οι οποίες δεν αντιμετωπίζονται ούτε από τα αναχώματα ασφάλειας από τους υπάρχοντες μηχανισμούς ασφάλειας Απαιτούνται συστήματα ανίχνευσης εισβολών (ΣΑΕ) για να εντοπισθούν και να ληφθούν τα κατάλληλα μέτρα προστασίας ΣΑΕ αξιοποιούνται για τον εντοπισμό μη επιθυμητών ενεργειών σε ένα υπολογιστικό σύστημα 4/11/2018 Πανεπιστήμιο Πελοποννήσου

5 Πανεπιστήμιο Πελοποννήσου
Κατηγορίες ΣΑΕ Προσανατολισμένα σε υπολογιστή Προσανατολισμένα στο δίκτυο Συνδιασμός 4/11/2018 Πανεπιστήμιο Πελοποννήσου

6 Πανεπιστήμιο Πελοποννήσου
Κατηγορίες ΣΑΕ 4/11/2018 Πανεπιστήμιο Πελοποννήσου

7 Απαιτήσεις Σχεδίασης ΣΑΕ
Να εκτελείται συνεχώς Να είναι ανθεκτικό στις επιθέσεις Να ελέγχει τον εαυτό του Να προκαλεί ελάχιστη επιβάρυνση στο σύστημα που εκτελείται 4/11/2018 Πανεπιστήμιο Πελοποννήσου

8 Απαιτήσεις Σχεδίασης ΣΑΕ
Να διαμορφώνεται με βάση τις απαιτήσεις της πολιτικής ασφάλειας Να επιτρέπει δυναμική διαμόρφωση του συστήματος Να δύναται να ελέγχει πολλαπλά υπολογιστικά συστήματα 4/11/2018 Πανεπιστήμιο Πελοποννήσου

9 Δομικά Στοιχεία ενός IDS
Αισθητήρες: είναι τα συστήματα τα οποία συλλέγουν δεδομένα τα οποία αξιοποιούνται στη συνέχεια για τον προσδιορισμό ύπαρξης ή όχι επίθεσης "παρακολουθούν" στοιχεία όπως κίνηση δικτύου, μνήμη και επεξεργαστή κτλ... Αναλυτές: λαμβάνουν ως είσοδο τα δεδομένα από τους αισθητήρες για την "έκδοση" της τελικής απόφασης σχετικά με την ύπαρξη επίθεσης ή όχι 4/11/2018 Πανεπιστήμιο Πελοποννήσου

10 Δομικά Στοιχεία ενός IDS
Σύστημα Διαχείρισης: απεικονίζει τα αποτελέσματα των αναλυτών και τα δεδομένα που λαμβάνουν από τους αισθητήρες γραφικά για να υπάρχει πλήρης εικόνα της λειτουργίας του συστήματος 4/11/2018 Πανεπιστήμιο Πελοποννήσου

11 Παράμετροι Αρχιτεκτονικής ΣΑΕ
«Τοποθέτηση» των αισθητήρων για τη συλλογή των πληροφοριών Συλλογή πληροφοριών βασισμένη στον υπολογιστή Αρχεία καταγραφής Συλλογή πληροφοριών βασισμένη στο δίκτυο Τεχνικές παρακολούθησης δικτύου Συνδιαμός αυτών 4/11/2018 Πανεπιστήμιο Πελοποννήσου

12 Δομικά Στοιχεία ενός IDS
4/11/2018 Πανεπιστήμιο Πελοποννήσου

13 Στοιχεία εισόδου ενός ΣΑΕ
Αρχεία / Δεδομένα ελέγχου τα οποία συλλέγονται από το λειτουργικό ή από το ίδιο το ΣΑΕ (τοπικά ή κατανεμημένα) 4/11/2018 Πανεπιστήμιο Πελοποννήσου

14 Στοιχεία που συμπεριλαμβάνονται στα δεδομένα ελέγχου
Υποκείμενο: Αρχικοποιητής των ενεργειών Ενέργεια: που εκτελέσθηκε από το υποκείμενο Αντικείμενο: το στοιχείο εκείνο στο οποίο πάνω εκτελείται η ενέργεια (αρχεία,προγράμματα κτλ) 4/11/2018 Πανεπιστήμιο Πελοποννήσου

15 Στοιχεία που συμπεριλαμβάνονται στα δεδομένα ελέγχου
Χρήση Πόρων: οι πόροι που χρησιμοποιήθηκαν από το συγκεκριμένο αντικέιμενο Χρονοσφραγίδα: προσδιορίζει τη χρονική στιγμή που πραγματοποιήθηκε η ενέργεια 4/11/2018 Πανεπιστήμιο Πελοποννήσου

16 Πανεπιστήμιο Πελοποννήσου
Τρόπος Δημιουργίας Τέτοια στοιχεία μπορούν να δημιουργηθούν με τη χρήση εντολών του συστήματος π.χ What (w) dgen p : bash Top Iostat ps -auxw 4/11/2018 Πανεπιστήμιο Πελοποννήσου

17 Σύστημα Καταγραφής Unix
Syslogd καταγράφει συμβάντα σχετικά με το λειτουργικό σύστημα Κάθε μήνυμα που καταγράφεται περιλαμβάνει την χρονική στιγμή και το όνομα του υπολογιστικού συστήματος 4/11/2018 Πανεπιστήμιο Πελοποννήσου

18 Κρισιμότητα μηνυμάτων καταγραφής
emerg 'panic' situations alert urgent, less than panic, situations crit 'critical' conditions err error conditions warning warning (non-error) messages notice things that may require attention info informational messages debug debugging messages 4/11/2018 Πανεπιστήμιο Πελοποννήσου

19 Υποσυστήματα δημιουργίας μηνυμάτων καταγραφής
kern the kernel user "user" processes (no specific) mail sendmail daemon "system" daemons, such as 'routed' auth security and authorization-related lpr BSD line-printer daemon news usenet news system uucp for the (ancient) UUCP service cron the cron daemon syslog used by syslogd itself ftp for ftp services authpriv similar to 'auth', logged to secure file 4/11/2018 Πανεπιστήμιο Πελοποννήσου

20 Παράδειγμα Διαμόρφωσης Υποσυστήματος Καταγραφής στο Unix
# Log all kernel messages, authentication messages of # level notice or higher and anything of level err or higher to the console. # Don't log private authentication messages! *.err;kern.*;auth.notice;authpriv.none /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* /var/log/maillog # Everybody gets emergency messages, plus log them on another # machine. *.emerg * *.emerg @arpa.berkeley.edu 4/11/2018 Πανεπιστήμιο Πελοποννήσου

21 Στοιχεία που Επηρεάζουν το Σχεδιαμό και Εφαρμογή ενός ΣΑΕ
Αρχιτεκτονική ΣΑΕ Τεχνική ανίχνευσης Τρόπος απόκρισης 4/11/2018 Πανεπιστήμιο Πελοποννήσου

22 Γνωστά ΣΑΕ ανοιχτού κώδικα
Snort ( Prelude ( Αισθητήρες Σύστημα ελέγχου Bro ( 4/11/2018 Πανεπιστήμιο Πελοποννήσου

23 Τεχνικές Ανίχνευσης- Βασικές Αρχές
Τα υπολογιστικά συστήματα που δέχονται επίθεση πληρούν ένα από τα ακόλουθα χαρακτηριστικά Οι ενέργειες των χρηστών και των διεργασιών δεν ακολουθούν ένα pattern Οι ενέργειες των χρηστών και των διεργασιών περιλαμβάνουν ακολουθίες εντολών ενάντια στην πολιτική ασφάλειας του συστήματος Οι ενέργειες των διεργασιών δε συμμορφώνονται με ένα σύνολο προδιαγραφών που περιγράφουν επιτρεπτές ενέργειες 4/11/2018 Πανεπιστήμιο Πελοποννήσου

24 Πανεπιστήμιο Πελοποννήσου
Τεχνικές Ανίχνευσης Τεχνικές μη ορθής χρήσης (misuse detection models) Τεχνικες ανίχνευσης διαταραχών(anomaly detection models) Συνδιασμός των προαναφερόμενων τεχνικών 4/11/2018 Πανεπιστήμιο Πελοποννήσου

25 Τεχνικές Μη Ορθής Χρήσης
Οι τεχνικές μη ορθής χρήσης συκγρίνουν ενέργειες ή καταστάσεις με ακολουθίες που είναι ήδη γνωστό ότι αποτελούν εισβολές Απαιτεί τη «γνώση» της εισβολής Βασίζεται στη δημιουργία κανόνων Χαρακτηριστική μέθοδος δημιουργιάς κανόνων αποτελεί η ανάλυση δεδομένων επίθεσης Χαρακτηριστικά παραδείγματα Ιοί (virus), στα υπολογιστικά συστήματα δε μεταλλάσονται 4/11/2018 Πανεπιστήμιο Πελοποννήσου

26 Τεχνικές Mη Ορθής Χρήσης
Κανόνες Αλφαριθμητικά Ακολουθία ενεργειών-γεγονότων 4/11/2018 Πανεπιστήμιο Πελοποννήσου

27 Τεχνικές Μη Ορθής Χρήσης
Οι κανόνες – υπογραφές μπορεί να είναι οτιδήποτε από μια σειρά bits μέχρι πολύπλοκες κανονικές εκφράσεις ή μια σειρά από γεγονότα Οποτεδήποτε δεδομενα εισόδου ταυτιστούν με ένα ή περισσότερους κανόνες τότε δημιουργείται συναγερμός 4/11/2018 Πανεπιστήμιο Πελοποννήσου

28 Παράδειγμα Τεχνικής Μη ορθής Χρήσης
TCP SYN alert tcp any any -> $SIP_PROXY_IP any \ (msg: "TCP SYN packet flooding from single source"; \ threshold: type both, track by_src, count 200, seconds 20; \ flow:stateless; flags:S,12; sid: ; rev:1;) SQL injection #DROP statement injection: alert ip any any -> $SIP_PROXY_IP $SIP_PROXY_PORTS \ (msg:"SQL Injection – Injection of DROP statement"; \ pcre:"/\'drop/ix"; \ sid: ; rev:1;) 4/11/2018 Πανεπιστήμιο Πελοποννήσου

29 Τεχνικές Μη Ορθής Χρήσης
Στην περίπτωση ακολουθίας γεγονότων το ΣΑΕ «παρακολουθεί» την ορθότητα των καταστάσεων που βρίσκεται το υπο-εξέταση σύστημα Το κρίσιμο στοιχεί σε αυτές τις περιπτώσεις αποτελεί η ανίχνευση της μετάβασης από μια «κανονική» κατάσταση σε μια «μη κανονική» μετάβαση 4/11/2018 Πανεπιστήμιο Πελοποννήσου

30 Τεχνικές Μη Ορθής Χρήσης
Για παράδειγμα θεωρείστε ότι υπάρχουν τρείς καταστάσεις S1: Μη αναγνώσιμα αρχεία S2: Αναγνώσιμα αρχεία S0: Αρχική κατάσταση Ένα χρήστης με δικαιώματα όχι υπερ-χρήστη μπορεί να βρεθεί μόνο από την S0->S1 Θα μπορούσε να έχουμε ένα ΣΑΕ το οποίo να ανιχνεύει τις «συμπεριφορές» αυτές δηλ: S0->S2 4/11/2018 Πανεπιστήμιο Πελοποννήσου

31 Τεχνικές Μη Ορθής Χρήσης
Intrusion Patterns activities pattern matching intrusion 4/11/2018 Πανεπιστήμιο Πελοποννήσου

32 Βασικά Μειονεκτήματα ΣΑΕ Μη Ορθής Χρήσης
Βασικό μειονέκτημα αποτελεί το γεγονός ότι μικρές διαφοροποιήσεις στα δεδομένα εισόδου μπορούν να παραπλανήσουν το ΣΑΕ Μεγάλο αριθμό από κανόνες για τον εντοπισμό όλων των πιθανών προβλημάτων Δεν αντιμετωπίζει μη γνωστές επιθέσεις 4/11/2018 Πανεπιστήμιο Πελοποννήσου

33 Τεχνικές Ανίχνευσης Διαταραχών
Χαρακτηριστικές περιπτώσεις Τεχνικές τιμών κατωφλίου Τεχνικές στατιστικών ροπών 4/11/2018 Πανεπιστήμιο Πελοποννήσου

34 Γενική Προσέγγιση Ανίχνευσης Διαταραχών
Σε όλες τις τεχνικές ανίχνευσης διαταραχών μελετάται το σύστημα για ένα ορισμένο χρονικό διάστημα το οποίο χρησιμοποιείται ως βάση για την ανίχνευση εισβολών χρησιμοποιώντας μια από τις παραπάνω τεχνικές 4/11/2018 Πανεπιστήμιο Πελοποννήσου

35 Τεχνικές Tιμών Kατωφλίου
Στις συγκεκριμένες τεχνικές χρησιμοποιείται ένα διάστημα επιτρεπτών τιμών (min, max) ενός γεγονότος Για παράδειγμα στο λειτουργικό σύστημα των ΑΤΜ των τραπεζικών συστημάτων κλειδώνει την κάρτα σε περίπτωση τριών αποτυχημένων προσπαθειών εισαγωγής του PIN To βασικό πρόβλημα των τεχνικών αυτών αποτελεί ο προσδιορισμός του διαστήματος τιμών 4/11/2018 Πανεπιστήμιο Πελοποννήσου

36 Τεχνικές Τιμών Κατωφλίου
Συνήθως το σύστημα μελετάται για ένα χρονικό διάστημα και έπειτα καθορίζονται οι τιμές κατωφλίου Για παράδειγμα θα μπορούσε να μελετηθεί ο αριθμός των icmp μηνυμάτων που δέχεται ένα δρομολογητής σε χρονικό διάστημα μιας ώρας Οπότε σε περίπτωση όπου στο συγκεκριμένο χρονικό διάστημα ‘ξεπερασθεί’ το οριζόμενο άνω κατώφλι θα υπάρξει συναγερμός 4/11/2018 Πανεπιστήμιο Πελοποννήσου

37 Τεχνικές Στατιστικών Ροπών
Σε αυτήν την περίπτωση υπολογίζονται στατιστικά στοιχεία όπως Μέση τιμή Τυπική απόκλιση Έφοσον οι τιμές βρίσκονται εντός του διαστήματος εμπιστοσύνης η ενέργεια θεωρείται «φυσιολογική» Σε διαφορετική περίπτωση δημιουργείται ο κατάλληλος συναγερμός όπως στην περίπτωση των τεχνικών κατωφλίου 4/11/2018 Πανεπιστήμιο Πελοποννήσου

38 Σύντομη Συγκριτική Αξιολόγηση Τεχνικών ΣΑΕ
Υπάρχει σαφής διαφοροποίηση μεταξύ των μοντέλων ανίχνευσης διαταραχών και μη ορθής συμπεριφοράς Η ανίχνευση μη ορθής συμπεριφοράς ανιχνεύει τις παραβιάσεις μιας πολιτικής Η ανίχνευση διαταραχών ανιχνεύει τις παραβιάσεις του θεωρούμενου ως αναμενόμενου, οι οποίες θα μπορούσαν να παραβιάσουν ή να μη παραβιάσουν την πολιτική 4/11/2018 Πανεπιστήμιο Πελοποννήσου

39 Γενική Διαδικασία Ανίχνευσης
Audit Data Preprocessor Audit Records Activity Data system activities are observable Detection Models Detection Engine Alarms normal and intrusive activities have distinct evidence Decision Table Decision Engine Action/Report 4/11/2018 Πανεπιστήμιο Πελοποννήσου

40 Πανεπιστήμιο Πελοποννήσου
Αποτίμηση ΣΑΕ Χρόνος απόκρισης – εντοπισού επίθεσης Αριθμός «λανθασμένων» συναγερμών (false alarms) Λανθασμένοι Θετικοί (False positive): θετικός θεωρείται ένα συναγερμός στην περίπτωση όπου μια ενέργεια ενεργοποιήσει ένα μηχανισμό ασφάλειας ενώ δε θα έπρεπε γιατί η συγκεκριμένη ενέργεια ήταν στα πλαίσια της οριζόμενης πολιτικής ασφάλειας. 4/11/2018 Πανεπιστήμιο Πελοποννήσου

41 Πανεπιστήμιο Πελοποννήσου
Αποτίμηση ΣΑΕ Αριθμός «λανθασμένων» συναγερμών (false alarms) Λανθασμένοι αρνητικοί (False negative): Αρνητικός θεωρείται ένας συναγερμός στην περίπτωση όπου μια (κακόβουλη) ενέργεια δεν ενεργοποιήσει τον κατάλληλο μηχανισμό ασφαλείας Ο ρυθμός εμφάνισης των αρνητικών/θετικών συναγερμών είναι μεταξύ των βασικών στοιχείων που προσδιορίζουν την κατάλληλότητα των μηχανισμών αναγνώρισης 4/11/2018 Πανεπιστήμιο Πελοποννήσου

42 Πανεπιστήμιο Πελοποννήσου
Αποτίμηση ΣΑΕ TP όχι εισβολή – όχι συναγερμός TN όχι εισβολή – συναγερμός FP εισβολή – όχι συναγερμός FN εισβολή – όχι συναγερμός Συνολικός αριθμός αποφάσεων από το IDS Ν= TP+TN+FP+FN 4/11/2018 Πανεπιστήμιο Πελοποννήσου

43 Πιθανότητες Αποτίμησης ΣΑΕ
Πιθανότητα εμφάνισης επίθεσης Pr (A) = (FP + FN)/Ν Πιθανότητα εμφάνισης ορθών θετικών συναγερμών TPR= TP /(TP+FN) = Pr(A|In) Πιθανότητα εμφάνισης ορθών αρνητικών συναγερμών TN /(FP+TN) = Pr(not A | not In) 4/11/2018 Πανεπιστήμιο Πελοποννήσου

44 Πιθανότητες Αποτίμησης ΣΑΕ
Πιθανότητα εμφάνισης λανθασμένων θετικών συναγερμών FP/ (FP +TN) = Pr ( A | not In) Πιθανότητα εμφάνισης λανθασμένων αρνητικών συναγερμών FNR = FN / (TP + FN) = Pr ( not A | In) 4/11/2018 Πανεπιστήμιο Πελοποννήσου

45 Πανεπιστήμιο Πελοποννήσου
Ερωτήσεις 4/11/2018 Πανεπιστήμιο Πελοποννήσου