Proaktivni sistem obrambe pred omrežnimi črvi z uporabo
“limanic” in “loncev medu”-
monitoring omrežja18. 02. 2006
Luka Manojlovićhttp://[email protected]
O omrežnih črvih
Črvi so avtomatski programi, ki preko izkoriščanja napak v sistemih in aplikacijah vdirajo na sisteme in se širijo naprej – pri tem pa povzročajo škodo (obremenitev omrežja, kraja podatkov...)
Črvi so avtomatski vdiralci, ki simulirajo človeške napadalce in ne izkoriščajo uporabnikove neukosti
Viri okužb / napadov
Neposreden napad na sisteme iz omrežja (vhodne ali izhodne seje)
Prenos nevarne vsebine na lokalne sisteme (e-mail s priponkami,...)
Od kod? Internet Ostala zunanja omrežja (omrežja partnerjev)
Okužba mobilnih sistemov med gostovanjem v tujem omrežju (domača pisarna, partnerjevo omrežje, WLAN hotspot,...)
Priklop nenadzorovanih sistemov v lokalno omrežje (serviserji, partnerji, zunanji sodelavci, testni sistemi,...)
Tveganja
Danes Zapora strežbe / DOS – Denial of service
V omrežju (odpoved naprav, pomanjkanje pasovne širine) Na končnih sistemih (odpoved ali upočasnitev sistema)
Jutri Dostop črva do občutljivih podatkov
Kar lahko privede do prave katastrofe na področju razvoja, financ...
Zapora strežbe / DOS – Denial of service Delo je v takšnem primeru onemogočeno, saj je celotno
omrežje ohromljeno
Čas okužbe
razvit nov črv
čas
prve okužbe
objava napake,
izdaja popravkov
OS
črv pride do vas
nekaj urnekaj dni
“dan nič” (day zero)
odkrita nova napaka v OS, proizvajalec
obveščen
Črni scenarij / napaka odkrita s strani hekerjev(objavljena na njihovih spletnih straneh)
razvit nov črv
čas
prve okužbe
izdaja popravkov
OSčrv pride do vas
nekaj urnekaj dni
“dan nič” (day zero)
odkrita nova napaka v OS, proizvajalec
obveščen, objava na spletu
nekaj dni
Načini preprečevanja
Preprečevanje znanih napadov (reaktivno) Popravki OS/aplikacij Iskanje znanih vzorcev napadov Dovoljeno je vse, kar ni očitno nevarno
Preprečevanje še neznanih napadov (proaktivno) Pravilo najmanjšega dostopa na vseh nivojih infrastrukture Iskanje nepravilnosti oz. odstopanja od normalnega
delovanja Prepovedano je vse, kar ni eksplicitno dovoljeno
Vmesen pristop - iskanje splošnih posledic napadov
Cilji obrambnega sistema
Sistem naj omogoča1. Preprečevanje okužbe
2. Omejevanje širjenja in porabe virov
3. (Preprečevanje dostopa do občutljivih podatkov)
Zaželen je samodejen odziv Ker je potencialno dovolj hiter
Sem uporabnik
Jože, imam nameščen AV, HIPS in SP2
omrežje
omrežje omrežje
omrežjeomrežje
Segmentacija notranjega omrežjaPravilo najmanjšega dostopa med segmentiPravilo najmanjšega dostopa znotraj segmenta
Overjanje uporabnikov na robu omrežja (LAN)Preverjanje stanja sistema in varnostnih nastavitev
Preprečevanje širjenja in porabe virovOmrežje, proaktivno
omrežje
omrežje omrežje
omrežjeomrežje
Omrežna kakovost storitev (QoS)
Limanice (tarpit)
IPS – zaznavanje pregledov omrežja,izklop okuženih sistemov iz omrežja
Preprečevanje širjenja in porabe virovOmrežje, proaktivno
Dodatni omrežni triki Napredne tehnologije zaznave Zaznava nepravilnosti v omrežnem prometu
Pregledovanje večine prometa Alternativa: limanice ter lonci medu
Nepravilnosti so različnih stopenj očitnosti Nova storitev v omrežju Odjemalec postane strežnik Količina ICMP-prometa poraste za 7%
Večinoma zahtevajo ročni odziv
Kaj tehnološko predstavlja limanico?
Limanica (Tarpit) je program, ki opravlja določene funkcije: Upočasnjevanje napdalca z velikimi time-out časi Napadalcu vseeno “da vedeti”, da smo prisotni in
ga tako dodatno zadržuje Limanico imenujemo tudi lepljivi medeni lonec
čeprav je po definiciji medeni lonec nekoliko drugačen
Limanica iz omrežja prevzame proste IP naslove in na njih ustvari navidezne naprave
Kaj tehnološko predstavlja limanico?
Primer tcpdump-a limanice LaBrea, ki jo je izdelal Tom Liston (http://labrea.sourceforge.net/): Kaj počenja?
Posluša na omrežju med tem, ko se črv sprašuje, ali je na IP naslovu 10.0.0.13 kakšen računalnik
Ko limanica zazna, da na 10.0.0.13 najverjetneje nihče ne bo odgovoril (kar pomeni, da tam ni računalnika) se sama oglasi in napadalca “zapelje” na nek neobstoječ fizični naslov 0.0.f.ff.ff.ff
14:18:28.832187 ARP who-has 10.0.0.13 tell 10.0.0.1 14:18:29.646402 ARP who-has 10.0.0.13 tell 10.0.0.1 14:18:31.707295 ARP who-has 10.0.0.13 tell 10.0.0.1 14:18:31.707574 ARP reply 10.0.0.13 is-at 0:0:f:ff:ff:ff
Limanica – Tarpitdemo zajema:
- opazovanje prometa z windows aplikacijo etherealhttp://www.ethereal.com/
- opazovanje prometa z linux aplikacijo tcpdumphttp://www.tcpdump.org/
- Labrea tarpit software, ki deluje tako na linux kot tudi na windows platformi
http://labrea.sourceforge.net (official)http://heanet.dl.sourceforge.net/sourceforge/labrea
http://store.manojlovic.net/ (mirror with prerequisites)http://support.microsoft.com/?kbid=842851 – Tarpitting Exchange 2003
Kaj tehnološko predstavlja lonec medu?
Lonce medu v omrežjih uporabljamo za učenje veščin, ki jih uporabljajo napadalci omrežja.
Zapomniti si moramo, da se z loncem medu v bistvu igramo “z ognjem”, saj lahko pri slabi postavitvi takšnega sistema napadalec dejansko pride v naše omrežje.
V osnovi pa je lonec medu sistem, ki: Je ponavadi postavljen v tako imenovan “Perimeter network”
ali pogosteje poznan kot DMZ del omrežja. Je ponavadi nekakšen približek strežnika, ki ga uporabljamo
(v primeru, da nas zanima do katerih podatkov našega podjetja se morebitni napadalec želi dokopati)
Ponavadi v resnici niti ne deluje na sistemu, ki ga napadalcu “prikazuje” (npr. Debian linux, ki teče na WindowsNT sistemu).
Kaj tehnološko predstavlja lonec medu?
Na kaj moramo biti previdni? Sistem postavimo v omrežje ne vemo pa kdaj ga
bodo začeli napadati Potrebujemo zanesliv alerting sistem
Pregledujemo loge požarnih zidov ter prehodov Uporabimo požarne zidove z alerting sistemom (email, sms)
Onemogočiti moramo napade na zunanja omrežja ter na naše interno omrežje Zapreti moramo vsa vrata navzven (!!!) in tako zavarovati
naš lonec medu pred tem, da bi postal nevaren za ostale.
Kaj tehnološko predstavlja lonec medu?
Sledenje dejavnosti napadalca Vzpostavimo takšen sistem, ki nam bo omogočal
sledenje na več plasteh Intenzivni monitoring požarnega zidu, za katerim tiči lonec
medu NE puščajmo log datotek na sistemu! Prevsmerimo jih
drugam – syslogging system. Aktivirajmo “vohljača” omrežja na požarnem zidu tako, da
bomo lažje razbrali kateri paketi krožijo po omrežju (nove storitve, sniffer na loncu medu...)
Uporaba programske opreme, ki nam prikaze spremenjene datoteke na sistemu (tudi za Windows okolje) – težava je v tem, da jo izkušen udiralec kmalu zazna kar pomeni konec lova.
Kaj tehnološko predstavlja lonec medu?
Sledenje dejavnosti napadalca ko ta že prevzame nadzor nad loncem medu Pustimo ga, da si “uredi delovno okolje” Iz sistema ga vržemo z izključitvijo sistema
Sistem nato popravimo (zapremo vse luknje ali “back doors”, ki jih je napadalec postavil)
Sistem spet postavimo na isto mesto (tako lahko testiramo ali novi popravki odpravijo stare napake)
Lonec medu – Honey potdemo zajema:
- Pregled spletnega portala Brazilske CERT organizacijehttp://www.honeynet.org.br
http://www.honeypots-alliance.org.br/
- Syslog orodja / prikaz syslog monitoringa usmerjevalnika
http://www.kiwisyslog.com/
- Back officer friendly honeypot for Windows http://www.nfr.com/
Povezave
http://www.insecure.org/ - Hacking resourceshttp://www.snort.org/ - samooklicani “de facto” standard za preprečevanje vdorov
http://rootprompt.org/ - novice v zvezi z računalniško varnostjohttp://www.dshield.org/ - Distribucijski sistem za detekcijo in preprečevanje vdorov
Slovenske spletne strani povezane z računalniško varnostjohttp://rz.hicsalta.si – Portal ravbarji in žandarji podjetja Hicsalta
Novičarske skupinenews.siol.net / news.arnes.si
Vprašanja?