Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00387 006350 13601694 na godz. na dobę w sumie
Monitoring i bezpieczeństwo sieci - książka
Monitoring i bezpieczeństwo sieci - książka
Autor: , Liczba stron: 224
Wydawca: Helion Język publikacji: polski
ISBN: 978-83-246-2552-9 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> hacking >> bezpieczeństwo sieci
Porównaj ceny (książka, ebook, audiobook).

Poznaj najskuteczniejsze metody
obrony sieci korporacyjnych

Wszędobylskość i niesamowite możliwości współczesnych złośliwych programów sprawiają, że nikt dziś nie może polegać wyłącznie na oprogramowaniu antywirusowym - nawet jeśli jest ono wciąż aktualizowane. Z powodu ciągle zmieniającego się zagrożenia dla systemu informatycznego organizacji niezbędne stało się aktywne monitorowanie sieci. Autorzy tej książki proponują Ci taki właśnie nowoczesny, skuteczny system zabezpieczeń. Jeśli spróbujesz wdrożyć u siebie kilka z ich zaleceń, w znacznym stopniu podniesiesz bezpieczeństwo sieci korporacyjnej. Jeśli natomiast zrealizujesz wszystkie zalecenia, masz szansę stworzyć jeden z najlepszych na świecie systemów monitorujących! Zatem do dzieła!

Książka 'Monitoring i bezpieczeństwo sieci' zawiera zestaw wyjątkowych metod, służących do wykrywania incydentów w sieciach globalnych. Autorzy - eksperci do spraw bezpieczeństwa - najpierw podają elementy niezbędne do prowadzenia skutecznego monitorowania sieci, a następnie pokazują, jak stworzyć ukierunkowane strategie oraz wdrożyć pragmatyczne techniki ochrony. Z tego podręcznika dowiesz się, w jaki sposób definiować reguły dotyczące bezpieczeństwa, regulacji i kryteriów monitorowania. Nauczysz się zbierać informacje o infrastrukturze poddawanej obserwacji, wybierać cele i źródła monitorowania. Dzięki temu samodzielnie stworzysz niezawodny system kontroli zabezpieczeń!

Zabezpiecz sieć - wykorzystaj najskuteczniejsze,
nowoczesne metody monitorowania systemów informatycznych!

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Monitoring i bezpieczeñstwo sieci Autor: Chris Fry, Martin Nystrom T³umaczenie: Wojciech Moch ISBN: 978-83-246-2552-9 Tytu³ orygina³u: Security Monitoring Format: 168×237, stron: 224 Poznaj najskuteczniejsze metody obrony sieci korporacyjnych (cid:129) Jak stworzyæ profesjonalny system kontroli zabezpieczeñ? (cid:129) Jak utrzymaæ solidne Ÿród³a danych? (cid:129) Jak okreœliæ rodzaje zdarzeñ niezbêdne do wykrywania naruszeñ regu³? Wszêdobylskoœæ i niesamowite mo¿liwoœci wspó³czesnych z³oœliwych programów sprawiaj¹, ¿e nikt dziœ nie mo¿e polegaæ wy³¹cznie na oprogramowaniu antywirusowym – nawet jeœli jest ono wci¹¿ aktualizowane. Z powodu ci¹gle zmieniaj¹cego siê zagro¿enia dla systemu informatycznego organizacji niezbêdne sta³o siê aktywne monitorowanie sieci. Autorzy tej ksi¹¿ki proponuj¹ Ci taki w³aœnie nowoczesny, skuteczny system zabezpieczeñ. Jeœli spróbujesz wdro¿yæ u siebie kilka z ich zaleceñ, w znacznym stopniu podniesiesz bezpieczeñstwo sieci korporacyjnej. Jeœli natomiast zrealizujesz wszystkie zalecenia, masz szansê stworzyæ jeden z najlepszych na œwiecie systemów monitoruj¹cych! Zatem do dzie³a! Ksi¹¿ka „Monitoring i bezpieczeñstwo sieci” zawiera zestaw wyj¹tkowych metod, s³u¿¹cych do wykrywania incydentów w sieciach globalnych. Autorzy – eksperci do spraw bezpieczeñstwa – najpierw podaj¹ elementy niezbêdne do prowadzenia skutecznego monitorowania sieci, a nastêpnie pokazuj¹, jak stworzyæ ukierunkowane strategie oraz wdro¿yæ pragmatyczne techniki ochrony. Z tego podrêcznika dowiesz siê, w jaki sposób definiowaæ regu³y dotycz¹ce bezpieczeñstwa, regulacji i kryteriów monitorowania. Nauczysz siê zbieraæ informacje o infrastrukturze poddawanej obserwacji, wybieraæ cele i Ÿród³a monitorowania. Dziêki temu samodzielnie stworzysz niezawodny system kontroli zabezpieczeñ! (cid:129) Implementowanie regu³ monitorowania (cid:129) Rodzaje regu³ (cid:129) Taksonomia sieci (cid:129) Wybieranie celów monitorowania (cid:129) Wybieranie Ÿróde³ zdarzeñ (cid:129) Automatyczne monitorowanie systemów (cid:129) Telemetria sieci (cid:129) Zarz¹dzanie adresami IP Zabezpiecz sieæ – wykorzystaj najskuteczniejsze, nowoczesne metody monitorowania systemów informatycznych! Spis treļci Wstýp .............................................................................................................................5 1. Zaczynamy ....................................................................................................................11 13 14 16 18 18 18 19 19 19 Szybko zmieniajñcy siö ksztaät zagroĔeþ Po co monitorowaè? Wyzwanie monitoringu Zlecanie monitorowania zabezpieczeþ Monitorowanie w celu minimalizacji ryzyka Monitorowanie sterowane reguäami Czy to zadziaäa w moim przypadku? Produkty komercyjne a produkty o otwartych Ēródäach Firma Blanco Wireless 2. Implementowanie reguĥ monitorowania ................................................................... 21 23 Monitorowanie czarnej listy 25 Monitorowanie anomalii Monitorowanie reguä 26 27 Monitorowanie z wykorzystaniem zdefiniowanych reguä 28 Rodzaje reguä 37 Reguäy dla firmy Blanco Wireless Wnioski 40 3. Poznaj swojé sieë ......................................................................................................... 41 41 47 63 65 Taksonomia sieci Telemetria sieci Sieè firmy Blanco Wireless Wnioski 4. Wybieranie celów monitorowania .............................................................................67 68 81 Metody wybierania celów Praktyczne porady przy wybieraniu celów 3 Zalecane cele monitorowania Wybieranie komponentów w ramach celów monitorowania Blanco Wireless: Wybieranie celów monitorowania Wnioski 82 83 86 88 5. Wybieranie Śródeĥ zdarzeħ .........................................................................................89 89 102 103 Zadanie Ēródäa danych Wybieranie Ēródeä zdarzeþ dla firmy Blanco Wireless Wnioski 6. Dostosowywanie ....................................................................................................... 105 105 111 124 141 145 148 Sieciowe systemy wykrywania wäamaþ WdraĔanie systemu NIDS Protokoäy systemowe NetFlow đródäa alarmów bezpieczeþstwa w firmie Blanco Wireless Wnioski 7. Utrzymywanie niezawodnych Śródeĥ danych .......................................................... 149 150 155 165 169 173 180 Utrzymywanie konfiguracji urzñdzeþ Monitorowanie monitorujñcych Monitorowanie baz danych Automatyczne monitorowanie systemów Monitorowanie systemów w firmie Blanco Wireless Wnioski 8. Konkluzja: nie traë kontaktu z rzeczywistoļcié ........................................................181 182 188 194 195 201 Co moĔe siö nie udaè? Studium przypadków OpowieĈci zespoäów CSIRT Wymagania minimalne Wnioski A Szczegóĥowa konfiguracja narzýdzi OSU flow-tools ..............................................203 203 205 Konfigurowanie serwera Konfigurowanie eksportu danych NetFlow na routerze B Szablon umowy o ļwiadczenie usĥug .......................................................................207 207 Umowa o Ĉwiadczenie usäug: dziaä sieci i dziaä bezpieczeþstwa C Obliczanie dostýpnoļci ..............................................................................................211 Skorowidz .................................................................................................................. 215 4 _ Spis treļci ROZDZIAĤ 1. Zaczynamy Byä styczeþ 2003 roku. Praca na stanowisku inĔyniera sieci obsäugujñcego sieci centrów da- nych w Cisco nie mogäa byè lepsza. 21 stycznia mój zespóä Ĉwiötowaä wyäñczenie przez wice- prezesa ostatniej centrali typu Avaya PBX, dziöki czemu poäñczenia telefoniczne kampusu Research Triangle Park (TRP) byäy w 100 procentach obsäugiwane w technologii VoIP. Wäa- Ĉnie zakoþczyliĈmy unowoczeĈnianie okablowania i sprzötu sieci WAN i mieliĈmy nadziejö na zwiökszenie dostöpnoĈci naszych zdalnych centrów. Niestety 25 stycznia (to byäa sobota) robak SQL Slammer poczyniä spustoszenie w sieciach caäego Ĉwiata. Robak ten, znany równieĔ pod nazwñ Sapphire, atakowaä niezabezpieczone serwery MS-SQL, wykorzystujñc do tego zäoĈliwy i samorozprzestrzeniajñcy siö kod. SpecjaliĈci od zabezpieczeþ z pewnoĈciñ doskonale pamiötajñ ten dzieþ. Technika rozprzestrzeniania siö robaka mogäa tworzyè efekt podobny do ataku odmowy dostöpu do usäug (ang. denial-of-service — DoS), co powodowaäo wyäñczanie kolejnych sieci. Jedynñ cechñ odróĔniajñcñ tego robaka od normalnej komunikacji z serwerem SQL byäa duĔa liczba pakietów UDP o wielkoĈci 376 bajtów kierowanych na port 14341. Dostawcy usäug internetowych zaczöli blokowaè ruch sieciowy za pomocñ filtrów wejĈcia-wyj- Ĉcia, ale byäo juĔ za póĒno, Ĕeby uchroniè swoje systemy przed infekcjñ. Chodziäo tu raczej o zabezpieczenie podstawowych struktur internetu. Robak Sapphire byä najszybciej rozprzestrzeniajñcym siö robakiem w historii. Od momentu roz- poczöcia dziaäania w internecie podwajaä swój rozmiar co 8,5 sekundy. W ciñgu 10 minut zainfe- kowaä ponad 90 procent komputerów podatnych na jego atak2. SzybkoĈè replikacji robaka i liczba zainfekowanych systemów oraz sieci korporacyjnych szyb- ko spowodowaäa zapeänienie linii komunikacyjnych kolejnymi próbami infekcji systemów. Administratorzy sieci obsäugujñcy äñcza WAN w USA dowiedzieli siö o problemie dopiero wtedy, gdy ich pagery zaczöäy bäyskaè jak lampki boĔonarodzeniowe, przekazujñc alarmy o zwiökszonym obciñĔeniu sieci. Na zakoþczenie otrzymywali tylko informacjö protokoäu SNMP — äñcze wyäñczone (ang. link down). Poczñtkowo sñdziliĈmy, Ĕe problem zwiñzany jest z kartñ sieciowñ D3, którñ niedawno wymieniliĈmy w jednym z naszych routerów. Jednak w momencie gdy ten sam problem zaczöäy zgäaszaè äñcza innych biur regionalnych, zorien- towaliĈmy siö, Ĕe jest to coĈ znacznie powaĔniejszego. 1 http://www.cert.org/advisories/CA-2003-04.html 2 http://www.caida.org/publications/papers/2003/sapphire/sapphire.html 11 DoĈwiadczaliĈmy juĔ problemów z sieciñ powodowanych przez infekcje wirusami, takimi jak Code Red (atakowaä on podane serwery WWW Microsoft IIS), ale Ĕaden z nich nie spowo- dowaä nawet czöĈci chaosu, jaki wywoäaä Slammer. Kilka zaraĔonych nim komputerów byäo w stanie wygenerowaè ruch sieciowy zdolny przeciñĔyè äñcza sieci WAN i doprowadziè do powaĔnych problemów z äñcznoĈciñ z oddziaäami na caäym Ĉwiecie. Ostatecznie udaäo siö stwierdziè, Ĕe wiökszoĈè zaraĔonych systemów to nieaktualizowane serwery laboratoryjne. Ich identyfikowanie i migrowanie byäo naprawdö zäoĔonym zadaniem: x WdroĔonych zostaäo zbyt maäo systemów wykrywania wäamaþ do sieci (ang. network intrusion detection systems — NIDS), a na dodatek nikt nie byä odpowiedzialny za przeglñ- danie i reagowanie na alarmy zgäaszane przez zainfekowane systemy. x Systemy telemetrii sieciowej (takie jak NetFlow) i wykrywania anomalii nie byäy wystar- czajñce, aby zidentyfikowaè zainfekowane systemy. x Nie byäo moĔliwoĈci ustalania priorytetów zgäoszeþ. MieliĈmy do dyspozycji tylko adre- sy IP i nazwy DNS zainfekowanych komputerów. Niestety zabrakäo informacji kontek- stowych, takich jak „serwer obsäugi danych”, „komputer uĔytkownika w sieci LAN” albo „serwer laboratoryjny”. W ciñgu kolejnych 48 godzin zespoäy specjalistów od sieci identyfikowaäy zainfekowane sys- temy, korzystajñc z powolnego procesu polegajñcego na rozsyäaniu zalecanych list kontroli dostöpu (ang. access control list — ACL) do wszystkich routerów WAN3, które miaäy blokowaè pakiety. Wszystkie trafienia zasady kontroli dostöpu (ang. access control entry — ACE) bloku- jñcej pakiety UDP na porcie 1434 oznaczaäy zainfekowany komputer. Nie mogliĈmy jednak zidentyfikowaè adresów IP komputerów tworzñcych takie trafienia, poniewaĔ dodanie opcji „log” do tej reguäy powodowaäo lawinowy wzrost wykorzystania procesorów w routerach i drastycznie zmniejszaäo wydajnoĈè pracy sieci. Kolejny krok polegaä na analizowaniu wy- korzystania portów na przeäñcznikach sieciowych i wyszukiwaniu w ten sposób zainfekowa- nych komputerów, a nastöpnie blokowaniu im feralnego portu. Ten proces wymagaä sporej liczby ludzi i oczywiĈcie czasu. JeĔeli zaimplementowalibyĈmy choè kilka zabezpieczeþ omawianych w niniejszej ksiñĔce, na- sze zespoäy techników mogäyby znacznie szybciej ograniczyè moĔliwoĈci dziaäania robaka. WäaĈciwe wdroĔenie systemów NIDS pozwoliäoby na natychmiastowe uzyskanie adresów IP zainfekowanych systemów i odpowiedniñ ich segregacjö w zaleĔnoĈci od przynaleĔnoĈci do poszczególnych sieci (serwery centrów danych, serwery laboratoryjne, komputery biurkowe — bödziemy o tym mówiè w rozdziale 6.). Jeszcze przed wykorzystaniem sygnatur systemów NIDS moglibyĈmy uĔyè systemu NetFlow, aby wykryè zainfekowane komputery za pomocñ wykrywanych wzorców ruchu sieciowego, o których bödziemy mówiè w rozdziale 3. Na pod- stawie tych informacji moĔna przygotowaè dobrze zaplanowanñ, prioretyzowanñ odpowiedĒ na zagroĔenie, a na zainfekowane systemy moĔna by naäoĔyè odpowiednie ograniczenia. Sa- ma informacja o adresach IP z systemu NetFlow pozwoliäaby ma szybkñ, manualnñ inspekcjö tablic ARP i powiñzaþ adresów MAC z adresami IP w routerach. Dziöki tym informacjom administratorzy mogliby szybko wyäñczyè odpowiednie porty w przeäñcznikach sieciowych i zablokowaè moĔliwoĈci rozprzestrzeniania siö robaka. W tej ksiñĔce opisujemy infrastrukturö oraz narzödzia, które bardzo pomogäyby nam kilka miesiöcy póĒniej, gdy zaatakowaä robak Nachi. Niestety nie byliĈmy w stanie tego przewidzieè i Nachi spowodowaä te same zniszczenia i byä ograniczany w tym samym manualnym proce- sie co robak Slammer. 3 http://www.cisco.com/warp/public/707/cisco-sn-20030125-worm.shtml 12 _ Rozdziaĥ 1. Zaczynamy Szybko zmieniajécy siý ksztaĥt zagroŜeħ Chyba kaĔdy säyszaä juĔ, Ĕe „dawno minöäy dni, gdy nastolatki i script kiddies siali zamöt tyl- ko po to, Ĕeby siö pokazaè”. W koþcu lat 90. i na poczñtku XXI wieku moĔna byäo zauwaĔyè ogromny wzrost liczby ataków tylu DoS. Szkodliwe oprogramowanie (ang. malware) bödñce gäównñ siäñ napödowñ tych ataków rozwinöäo siö z prostych programów atakujñcych poje- dynczñ lukö w wielkie i zäoĔone systemy wykorzystujñce wiele luk w systemie operacyjnym i róĔnych aplikacjach. Przyjrzyjmy siö opisowi metody infekcji stosowanej przez robaka Nachi (z 2003 roku): Ten robak rozprzestrzenia siö, wykorzystujñc luki w systemie Microsoft Windows (MS03-026). Atakowane sñ równieĔ serwery WWW (IIS 5) podatne na atak MS03-007 na porcie 80 poprzez usäugö WebDev4. A oto informacje na temat bardzo popularnego wirusa o nazwie SDBot z 2006 roku: Robak rozprzestrzenia siö za poĈrednictwem udostöpnionych i säabo zabezpieczonych udziaäów sieciowych, a niektóre wersje próbujñ wykorzystaè podane niĔej luki w róĔnych systemach: Wykorzystuje lukö w usäudze WebDav (MS03-007). Wykorzystuje lukö w LSAAS (MS04-011). Wykorzystuje lukö w ASN.1 (MS04-007). Wykorzystuje lukö w usäugach Workstation Service (MS03-049). Wykorzystuje lukö w PNP (MS05-039). Wykorzystuje lukö w obsäudze nazwy uĔytkownika przy logowaniu do usäugi IMAPD. Wykorzystuje lukö w systemie autoryzacji HTTP w systemie Cisco IOS. Wykorzystuje lukö w usäugach serwerowych (MS06-040). Próbuje siö rozprzestrzeniaè za pomocñ domyĈlnych udziaäów administracyjnych, takich jak: PRINT$ E$ D$ C$ ADMIN$ IPC$ Niektóre warianty wirusa wyposaĔone sñ teĔ w listy säabych kombinacji nazwy uĔytkownika i ha- säa, która pozwala na dostöp do tych udziaäów. Wykorzystuje säabe hasäa i konfiguracje. Niektóre wersje próbujñ dostaè siö do serwerów MS SQL za pomocñ säabych haseä administracyj- nych. W przypadku powodzenia wirus moĔe wykonaè zdalnie polecenia systemowe za poĈred- nictwem serwera SQL5. Ta bardziej zaawansowana forma zäoĈliwego oprogramowania zawiera komponenty pozwa- lajñce jej na kontynuowanie dziaäania po ponownym uruchomieniu komputera, a nawet ukry- wanie siö przed programami antywirusowymi. Co wiöcej, zastosowano w nim techniki za- ciemniania kodu utrudniajñce analizö przechwyconego wirusa! Wiele tego typu programów zawiera teĔ komponenty pozwalajñce na kradzieĔ informacji z zainfekowanych systemów 4 http://vil.nai.com/vil/content/v_100559.htm 5 http://vil.nai.com/vil/content/v_139565.htm Szybko zmieniajécy siý ksztaĥt zagroŜeħ _ 13 i przekazywanie ich do swojego twórcy za pomocñ skäadnika zdalnej kontroli (tego typu pro- gramy nazywane sñ botnetem), który umoĔliwia peäne sterowanie zainfekowanym systemem. Poäñczenie w jednym programie wszystkich tych cech, czyli zdecentralizowanej struktury ste- rowania (wykorzystanie struktur sieci WWW lub sieci P2P) oraz szyfrowania i polimorfizmu (dziöki czemu zäoĈliwe oprogramowanie moĔe siö samo modyfikowaè przy przenoszeniu siö na inny system, co umoĔliwia mu unikanie programów antywirusowych), daje nam odpo- wiedĒ na pytanie, dlaczego programy antywirusowe tak rzadko radzñ sobie z nowymi rodza- jami zagroĔeþ. Sĥabe wyniki programów antywirusowych Mamy nadziejö, Ĕe nikt juĔ nie polega wyäñcznie na oprogramowaniu antywirusowym jako Ĉrodku do wykrywania i ochrony systemów uĔytkowników. Peäna strategia zabezpieczenia musi uwzglödniaè programy antywirusowe, zarzñdzanie aktualizacjami systemu operacyjne- go i aplikacji, systemy wykrywania wäamaþ do komputerów oraz odpowiednio uksztaätowa- nñ kontrolö dostöpu (powiedzieliĈmy przecieĔ: „mamy nadziejö” -). JeĔeli ktoĈ nadal korzy- sta wyäñcznie z oprogramowania antywirusowego, to czekajñ go wielkie rozczarowania. Na przykäad latem 2008 roku wielu naszych pracowników otrzymaäo doskonale przygotowanñ wiadomoĈè phishingowñ dotyczñcñ niedostarczenia przesyäki przez firmö UPS: -----Original Message----- From: United Parcel Service [mailto:teeq@agbuttonworld.com] Sent: Tuesday, August 12, 2008 10:55 AM To: xxxxx@xxxxxxxx.com Subject: Tracking N_ 6741030653 Unfortunately we were not able to deliver postal package you sent on July the 21st in time because the recipient s address is not correct. Please print out the invoice copy attached and collect the package at our office Your UPS W zaäñczniku wiadomoĈci znajdowaä siö koþ trojaþski, którego nie wykrywaäo 90 procent spo- Ĉród 37 dostöpnych nam programów antywirusowych. W tabeli 1.1 przedstawione zostaäy wy- niki testów przeprowadzonych na kodzie binarnym konia trojaþskiego. Jak widaè, wszystkie programy antywirusowe wykrywajñce zäoĈliwe oprogramowanie za po- mocñ „zäych” sygnatur nie byäy w stanie wykryè tego konia trojaþskiego. Tego rodzaju techno- logia zawodzi przede wszystkim dlatego, Ĕe nawet niewielka zmiana w kodzie wirusa spowo- duje, iĔ bödzie on niewykrywalny dla istniejñcych sygnatur. OczywiĈcie dostawcy programów antywirusowych ciñgle poprawiajñ swoje technologie — na przykäad dodajñ wykrywanie heurystyczne lub behawioralne, ale nadal nie sñ w stanie udostöpniè nam „peänej” ochrony systemu. Doskonaäym Ēródäem informacji na temat wirusów, ich moĔliwoĈci i powodów tak skutecznego ukrywania siö jest ksiñĔka Johna Aycock’a Computer Viruses and Malware (wy- dawnictwo Springer). PowszechnoĈè i wielkie moĔliwoĈci dzisiejszego zäoĈliwego oprogramowania powinny byè wystarczajñcym powodem do Ĉcisäego monitorowania swoich sieci komputerowych. JeĔeli nie jest, to byè moĔe bardziej przekonujñce bödzie to, Ĕe takie programy wykorzystywane sñ przez organizacje mafijne do szpiegowania, kradzieĔy toĔsamoĈci i wymuszeþ. Po co monitorowaë? PrzestöpczoĈè zorganizowana i zagroĔenia wewnötrzne to ciñgle zmieniajñce siö zagroĔenia dajñce nam solidne podstawy do aktywnego monitorowania zabezpieczeþ sieci. 14 _ Rozdziaĥ 1. Zaczynamy Tabela 1.1. Wyniki testów kodu binarnego konia trojaþskiego Antywirus AhnLab-V3 AntiVir Authentium Avast AVG BitDefender CAT-QuickHeal ClamAV DrWeb eSafe eTrust-Vet Ewido F-Prot F-Secure Fortinet GData Ikarus K7AntiVirus Wynik – – W32/Downldr2.DIFZ – – – – – – – – – – – – – Win32.Outbreak.UPSRechnung – Antywirus Kaspersky McAfee Microsoft NOD32v2 Norman Panda PCTools Prevx1 Rising Sophos Sunbelt Symantec TheHacker TrendMicro VBA32 ViRobot VirusBuster Webwasher-Gateway Wynik – – – – – – – – – – Trojan-Spy.Win32.Zbot.gen (v) – – – – – – – Ĥajdacka ekonomia i przestýpczoļë zorganizowana Codziennie kradzione sñ niewiarygodne iloĈci pieniödzy. Wystarczajñco wiele, Ĕeby koordyno- waè caäe grupy przestöpców. Takie nielegalne zwiñzki przyspieszyäy rozwój zaawansowanych wersji zäoĈliwego oprogramowania (w tym kontekĈcie czösto nazywane jest ono przestöpczym oprogramowaniem — crimeware). WiökszoĈè organizacji zajmujñcych siö bezpieczeþstwem, zarówno rzñdowych, jak i prywatnych, nie jest dostatecznie dobrze wyposaĔonych, aby zwal- czaè te zagroĔenia za pomocñ istniejñcych technologii i procesów. W 2008 roku badania przeprowadzone przez firmö F-Secure przewidywaäy, Ĕe zäoĈliwe opro- gramowanie wykorzystywane w celach przestöpczych bödzie rozwijaäo siö gäównie w takich krajach jak Brazylia, Chiny, byäy Zwiñzek Radziecki, Indie oraz w Afryce i Ameryce ćrodko- wej. Wynika to z faktu, Ĕe w tych krajach wielu wyksztaäconych specjalistów nie ma moĔliwo- Ĉci uĔycia swoich umiejötnoĈci w sposób legalny6. Co prawda wiökszoĈè takich dziaäaþ nie jest skierowana bezpoĈrednio przeciwko korporacjom, ale widzieliĈmy juĔ przypadki, w których wykorzystywana byäa znajomoĈè nazwisk oraz re- lacji miödzy czäonkami zespoäów a ich kierownikami, co pozwalaäo na przygotowanie nie- zwykle wiarygodnych wiadomoĈci phishingowych. Technika ta czösto opisywana jest termi- nem phishingu wybiórczego (ang. spearphishing). Z drugiej strony dziaäania podejmowane przez zäoĈliwych pracowników w celu uzyskania dostöpu do tajnych informacji i danych wäasnoĈci intelektualnej tworzñ sytuacjö opisywanñ terminem zagroĔenia wewnötrznego (ang. insider threat). 6 http://www.f-secure.com/f-secure/pressroom/news/fsnews_20080117_1_eng.html Po co monitorowaë? _ 15 ZagroŜenia wewnýtrzne Badania prowadzone przez tajne säuĔby Stanów Zjednoczonych oraz zespóä CERT/CC (Com- puter Emergency Response Team/Coordination Center) potwierdzajñ duĔe znaczenie zagroĔeþ wewnötrznych. Co prawda nadal dyskutowana jest ich skala, jednak szacuje siö, Ĕe 40 do 70 procent wszystkich naruszeþ bezpieczeþstwa zwiñzanych jest z zagroĔeniem wewnötrznym. Tak wielka skala problemu, szczególnie w zwiñzku z bezpoĈrednim dostöpem do danych i wiedzñ na ich temat, musi skäaniaè firmy do Ĉcisäego monitorowania dziaäaþ swoich pracow- ników. Kilka säynnych przykäadów powinno skäoniè kaĔdego do powaĔnego potraktowania zagroĔeþ wewnötrznych w firmie7: Horizon Blue Cross Blue Shield W styczniu 2008 roku ponad 300 000 nazwisk i numerów ubezpieczenia spoäecznego zo- staäo skradzionych razem z laptopem, na którym byäy przechowywane. Pracownik na co dzieþ pracujñcy z danymi klientów zabieraä ten komputer do domu. Hannaford Bros. Co. W maju 2008 roku wyciekäy numery 4,2 miliona kart kredytowych i debetowych. Mniej wiö- cej 1800 przypadków defraudacji zostaäo powiñzanych z tym wäaĈnie wyciekiem danych. Okazaäo siö, Ĕe numery kart byäy przechwytywane w trakcie przetwarzania transakcji. Compass Bank W marcu 2008 roku dokonano wäamania do bazy danych zawierajñcej nazwiska, numery kont i hasäa uĔytkowników. Byäy pracownik banku skradä dysk twardy zawierajñcy milion danych klientów i wykorzystaä je do defraudacji. UĔywaä kodera kart kredytowych oraz czystych kart, aby tworzyè nowe karty i pobieraè pieniñdze z kont wielu klientów banku. Countrywide Financial Corp. W sierpniu 2008 roku FBI aresztowaäo byäego pracownika firmy za kradzieĔ informacji osobistych, w tym numerów ubezpieczenia spoäecznego. Pracownik ten byä starszym ana- litykiem finansowym w dziale poĔyczek subprime. Przypuszczalny inicjator tej kradzieĔy co tydzieþ sprzedawaä dane kont w grupach po 20 000 za 500$. Nie wszystkie z wymienionych przypadków byäy z natury zäoĈliwe, ale wszystkie swój po- czñtek miaäy od naruszenia zasad bezpieczeþstwa. W rozdziaäach 2. i 6. prezentowaè bödzie- my narzödzia pozwalajñce na wykrywanie zäoĈliwego oprogramowania i zagroĔeþ wewnötrz- nych. W rozdziaäach 4. i 5. omówimy metody prioretyzowania ograniczonych zasobów do monitorowania i wybierania danych zdarzeþ pozwalajñcych na uzyskanie najlepszych efek- tów przy ograniczonych kosztach. Wyzwanie monitoringu SpecjaliĈci od zabezpieczeþ tworzñcy mechanizmy monitorowania muszñ zmierzyè siö rów- nieĔ z ograniczeniami stosowanych produktów, rzeczywistoĈciñ monitorowania operacyjne- go, iloĈciami generowanych zdarzeþ oraz koniecznoĈciñ ochrony prywatnoĈci pracowników. Obietnice producentów „Po prostu podäñcz, a my zajmiemy siö resztñ”! Taka prostota konfigurowania systemu SIM (Security Information Manager — zarzñdzania informacjami o zabezpieczeniach) firmy XYZ, aby 7 đródäo: http://www.privacyrights.org/ar/ChronDataBreaches.htm#2008 16 _ Rozdziaĥ 1. Zaczynamy „automagicznie” obsäugiwaä naruszenia bezpieczeþstwa, sprawdza siö tylko w przypadku nie- wielkich i dobrze prowadzonych Ĉrodowisk. Niestety z naszych rozmów z klientami wnio- skujemy, Ĕe takie utopijne Ĉrodowiska sñ niezwykle rzadkie. Monitorowanie bezpieczeþstwa w niczym nie przypomina konfiguracji magnetowidu. Nie moĔna go „nastawiè i zapomnieè”. Technologie zabezpieczajñce nie sñ w stanie wytworzyè informacji kontekstowych, niezböd- nych do przygotowania priorytetów i wyznaczenia najwaĔniejszych punktów do monitoro- wania. KaĔde Ĉrodowisko jest unikalne, ale metody omawiane w rozdziale 3. pozwalajñ na wbudowanie takich istotnych informacji kontekstowych do narzödzi zabezpieczajñcych. To jednak nie wszystko! Rzeczywistoļë „Wäñcz kontrolö wszystkich tabel bazy danych”. Dziaäania na bazach danych w rozbudowanym Ĉrodowisku korporacyjnym sñ kluczowym elementem stanowiñcym o wydajnoĈci i stabilno- Ĉci, dlatego to zalecenie zmusiäo nas do przemyĈleþ. Jaki bödzie to miaäo wpäyw na wydaj- noĈè? Jakie wprowadzi ryzyko dla dziaäalnoĈci firmy, kontroli zmian, stabilnoĈci i dostöpnoĈci sieci? ZaczöliĈmy rozmawiaè na ten temat z administratorem baz danych za poĈrednictwem poczty e-mail. Przestaä odpowiadaè na nasze wiadomoĈci po tym, gdy wspomnieliĈmy o za- leceniu „wäñczenia kontroli wszystkich tabel bazy danych”! RzeczywiĈcie, tak intensywna kontrola bazy danych w kaĔdym Ĉrodowisku (z wyjñtkiem tych najrzadziej uĔywanych) spo- wodowaäaby zmniejszenie wydajnoĈci systemu do nieakceptowanego poziomu. Zalecenia, które podajemy w tej ksiñĔce, zostaäy przetestowane i sprawdzone w trakcie naszych wäasnych doĈwiadczeþ, zdobytych przez nas podczas obsäugi niejednej infrastruktury korporacyjnej. Nie bödziemy zalecali stosowania metod, które mogñ negatywnie wpäynñè na dostöpnoĈè syste- mów, a przez to pogorszyè relacje z innymi pracownikami. Iloļci danych W kontekĈcie monitorowania sieci przy duĔych iloĈciach protokoäowanych danych szybko mogñ siö one zmieniè z bardzo waĔnego zbioru informacji w caäkowicie nieprzejrzyste bagno. Nieprawidäowo przygotowany system NIDS lub demon syslog moĔe generowaè zbyt wiele komunikatów, które zacznñ zalewaè systemy zbierania informacji. Nawet jeĔeli systemy te bödñ w stanie przyjñè taki zalew komunikatów, to sama ich iloĈè bödzie przytäaczajñca dla zespoäu monitorujñcego, który moĔe zaczñè ignorowaè to Ēródäo informacji. W rozdziaäach 5. i 6. przedstawimy wskazówki pozwalajñce na zachowanie rozsñdnej liczby komunikatów na- wet w najbardziej rozbudowanych Ĉrodowiskach. Prywatnoļë Nie moĔna teĔ zapomnieè o koniecznoĈci zachowania zgodnoĈci z lokalnym prawodawstwem dotyczñcym ochrony danych osobowych, tym bardziej Ĕe mogñ siö one róĔniè w poszczegól- nych krajach. Najlepszñ radñ, jakiej moĔemy tu udzieliè, jest staäe informowanie dziaäu perso- nalnego i prawnego o prowadzonych dziaäaniach monitorowania sieci oraz formalne doku- mentowanie zezwoleþ udzielanych przez te dziaäy. Jest to najczöĈciej realizowane w postaci firmowej deklaracji o monitorowaniu, która powinna staè siö czöĈciñ zasad dozwolonego uĔy- cia w danej firmie. Wyzwanie monitoringu _ 17 Zlecanie monitorowania zabezpieczeħ W wielu firmach bezpieczeþstwo jest tylko kolejnym punktem w dokumencie kontrolnym. „Pracownicy… jest! Obsäuga IT… jest! Zabezpieczenia… jest!” itd. JeĔeli Czytelnik juĔ zdñĔyä caäkowicie zleciè monitorowanie bezpieczeþstwa swojej sieci ze- wnötrznej firmie, to moĔe przestaè czytaè tö ksiñĔkö i sprzedaè jñ na internetowej aukcji. Opra- wa jest zapewne jeszcze nienaruszona, wiöc moĔna opisaè jñ „jak nowa”. Z naszego doĈwiad- czenia wynika (i potwierdzajñ to rozmowy z naszymi klientami), Ĕe niezwykle trudno jest znaleĒè firmö zabezpieczajñcñ, która naprawdö staraäaby siö poznaè sieè i kontekst bezpieczeþ- stwa swoich klientów. Takie firmy najczöĈciej ograniczajñ siö do obsäugi najprostszych proble- mów z zabezpieczeniami. Proszö przyjrzeè siö nastöpujñcej propozycji: chcemy dowiedzieè siö, kiedy ktoĈ zacznie kopiowaè dane klientów z bazy danych na lokalny komputer. Jak moĔe nam to zapewniè zewnötrzna firma? A moĔe lepiej: jak wysokñ fakturö wystawi za takñ usäu- gö? Usäugi oferowane przez wiökszoĈè dostawców ograniczajñ siö do skäadania regularnych raportów wybranych alarmów systemów NIDS (tych samych alarmów dla kaĔdego klienta) oraz zwiñzanych z nimi adresów IP. Naszym zdaniem jest to zdecydowanie niewystarczajñce. Monitorowanie w celu minimalizacji ryzyka Oto kilka säów, które kaĔdego specjalistö od bezpieczeþstwa przyprawiajñ o dreszcze: B2B, partner, outsourcing, extranet. Czasami, z powodów ĈciĈle biznesowych, kierownictwo musi zaakceptowaè wyĔszy poziom ryzyka, takiego jak podäñczenie sieci partnera jeszcze przed dokonaniem peänej oceny bezpieczeþstwa tej sieci. Niestety najczöĈciej takie decyzje podejmo- wane sñ przez osoby nieposiadajñce wystarczajñcych uprawnieþ do zwiökszania ryzyka bez- pieczeþstwa danych. Tego rodzaju decyzje wpäywajñ na caäñ korporacjö, a czösto dokonywane sñ na podstawie niewäaĈciwych lub niepeänych informacji. W efekcie osoby odpowiedzialne za bezpieczeþstwo danych popadajñ we frustracjö i po prostu liczñ na szczöĈcie. Taka caäkowita kapitulacja nie jest na szczöĈcie konieczna. JeĔeli bödziemy postöpowaè zgodnie z wytyczny- mi podawanymi w niniejszej ksiñĔce, to bödziemy w stanie dopasowaè strategiö monitoro- wania do takich wyjñtkowych sytuacji biznesowych, minimalizujñc, a moĔe nawet caäkowicie usuwajñc dodatkowe ryzyko. Od osób decydujñcych o podjöciu ryzykownych dziaäaþ naleĔy domagaè siö specjalnych nakäadów na monitorowanie, mówiñc: „JeĔeli chcecie rozpoczñè ten ryzykowny projekt, to bödziecie musieli äoĔyè na dodatkowe funkcje monitorowania sprzötu i personelu”. Monitorowanie sterowane reguĥami Chcemy tutaj zróĔnicowaè narzödzia do monitorowania sterowanego reguäami (czasami na- zywane sñ monitoringiem ukierunkowanym — ang. targeted monitoring) od monitorowania zäo- Ĉliwego oprogramowania, wykrywania wäamaþ, wykrywania wäamaþ wewnötrznych (ang. extrusion detection) oraz popularnych narzödzi do monitorowania. Monitorowanie sterowane reguäami realizowane jest przez wyliczanie i wybieranie najwaĔniejszych systemów, wykry- wanie naruszeþ poszczególnych zasad za pomocñ protokoäów zdarzeþ. Wymaga ono analizy wygenerowanych zdarzeþ i porównania ich z zasadami bezpieczeþstwa obowiñzujñcymi w danym kontekĈcie Ĉrodowiska. Opisywane tutaj metody uäatwiajñ przeniesienie wysiäków systemów monitorujñcych na systemy najistotniejsze dla firmy i zdefiniowanie alarmów zwiñ- zanych z reguäami bezpieczeþstwa obowiñzujñcymi te systemy. 18 _ Rozdziaĥ 1. Zaczynamy Czy to zadziaĥa w moim przypadku? Na podstawie doĈwiadczeþ zebranych przy pracy z jednñ z najbardziej zäoĔonych i zmienia- nych sieci korporacyjnych Ĉwiata jesteĈmy przekonani, Ĕe prezentowane tutaj narzödzia oraz metody sñ skuteczne i bezpieczne. Obaj zajmowaliĈmy siö obsäugñ najistotniejszych systemów, których dostöpnoĈè bezpoĈrednio wpäywaäa na zyski korporacji i produktywnoĈè pracowni- ków (a przez to i na nasze kariery). Niniejszy poradnik jest wynikiem iteracyjnych usprawnieþ i powinien znaleĒè zastosowanie przy wszystkich uĔywanych przez Czytelnika technologiach zabezpieczajñcych. Chodzi o to, Ĕeby implementujñc zaledwie kilka zaleceþ podawanych w tej ksiñĔce, moĔna byäo mocno podnieĈè swoje moĔliwoĈci monitorowania sieci i reagowania na zagroĔenia. Zaimplementowanie wszystkich zaleceþ pozwoli utworzyè jeden z najlepszych na Ĉwiecie systemów monitorujñcych. Produkty komercyjne a produkty o otwartych Śródĥach Obaj jesteĈmy pracownikami firmy Cisco Systems i korzystamy z jej produktów zabezpiecza- jñcych. Prezentujemy tutaj porady wynikajñce z naszego doĈwiadczenia, dlatego w ksiñĔce znajdzie siö wiele odniesieþ do produktów firmy Cisco. UĔywamy jednak narzödzi o otwar- tych Ēródäach, jeĔeli tylko speäniajñ one nasze wymagania, a jeĔeli sprawdzajñ siö w pracy, to z caäego serca zalecamy ich stosowanie. Produkty o otwartych Ēródäach prezentowane sñ w ksiñĔce Richarda Bejtlicha The Tao of Network Security Monitoring (Addison-Wesley Profes- sional), w której opisywane sñ metody zastosowania takich narzödzi monitorujñcych jak Snort, Bro, Argus, Sguil i wielu innych. Jest to idealna pozycja dla osób, które dopiero tworzñ swojñ infrastrukturö monitorowania lub szukajñ moĔliwoĈci rozbudowy juĔ istniejñcej. W tej ksiñĔ- ce staramy siö pomóc Czytelnikowi jak najlepiej wykorzystaè swoje narzödzia monitorujñce, niezaleĔnie od tego, jakich uĔywa. Firma Blanco Wireless W celu lepszego zilustrowania naszych zaleceþ bödziemy prezentowaè ich implementacjö w ramach fikcyjnej firmy o nazwie Blanco Wireless. Jest to dostawca usäug telefonii komórko- wej dziaäajñcy na terenie USA. W ramach zarzñdzania kontami Blanco Wireless zbiera i prze- chowuje informacje osobowe swoich klientów, takie jak nazwiska, adresy, numery telefonów, numery ubezpieczenia spoäecznego, ocenö kredytowñ oraz wiele innych szczegóäowych da- nych. Na zakoþczenie kaĔdego rozdziaäu omówimy sposób, w jaki firma Blanco Wireless im- plementuje narzödzia i metody omawiane w danym rozdziale. WĈród podawanych przykäa- dów znajdñ siö diagramy oraz wyjaĈnienia, jak nasza fikcyjna firma wykorzystaäa podawane w tym rozdziale zalecenia, aby poprawiè swoje monitorowanie zabezpieczeþ. Firma Blanco Wireless _ 19
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Monitoring i bezpieczeństwo sieci
Autor:
,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: