Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00609 009548 10439437 na godz. na dobę w sumie
Wykrywanie włamań i aktywna ochrona danych - książka
Wykrywanie włamań i aktywna ochrona danych - książka
Autor: Liczba stron: 512
Wydawca: Helion Język publikacji: polski
ISBN: 83-7361-666-7 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> hacking >> bezpieczeństwo sieci
Porównaj ceny (książka, ebook, audiobook).

Poznaj sposoby wykrywania ataków hakerów

Wykrywanie włamań to stosunkowo nowa dziedzina, którą zainteresowało się już wielu specjalistów od zabezpieczeń systemów komputerowych. Wokół niej, podobnie jak wokół innych rozwijających się dziedzin, krąży wiele mitów. Książki poświęcone ochronie przed włamaniami przedstawiają ten temat z innej perspektywy. Trudno jest również znaleźć zestawienie i porównanie narzędzi do detekcji włamań oraz omówienie procedury instalacji i skonfigurowania takiego narzędzia.

Głównym założeniem książki 'Wykrywanie włamań i aktywna ochrona danych' jest wypełnienie tej luki. Książka przedstawia systemy detekcji włamań i sposoby korzystania z nich. Pokazuje również rodzaje i techniki ataków hakerskich oraz metody reagowania na włamania i próby włamań.

Zabezpiecz swoją sieć za pomocą nowoczesnych technik i narzędzi.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TREĎCI SPIS TREĎCI KATALOG KSI¥¯EK KATALOG KSI¥¯EK KATALOG ONLINE KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK TWÓJ KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAMÓW INFORMACJE ZAMÓW INFORMACJE O NOWOĎCIACH O NOWOĎCIACH ZAMÓW CENNIK ZAMÓW CENNIK CZYTELNIA CZYTELNIA FRAGMENTY KSI¥¯EK ONLINE FRAGMENTY KSI¥¯EK ONLINE Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl Wykrywanie w³amañ i aktywna ochrona danych Autor: Alex Lukatsky T³umaczenie: Przemys³aw Szeremiota ISBN: 83-7361-666-7 Tytu³ orygina³u: Protect Your Information with Intrusion Detection Format: B5, stron: 512 Poznaj sposoby wykrywania ataków hakerów • Wybierz i skonfiguruj odpowiedni system detekcji w³amañ • Dowiedz siê, w jaki sposób hakerzy mog¹ zaatakowaæ Twój system • Zareaguj na atak hakera Wykrywanie w³amañ to stosunkowo nowa dziedzina, któr¹ zainteresowa³o siê ju¿ wielu specjalistów od zabezpieczeñ systemów komputerowych. Wokó³ niej, podobnie jak wokó³ innych rozwijaj¹cych siê dziedzin, kr¹¿y wiele mitów. Ksi¹¿ki poġwiêcone ochronie przed w³amaniami przedstawiaj¹ ten temat z innej perspektywy. Trudno jest równie¿ znaleĥæ zestawienie i porównanie narzêdzi do detekcji w³amañ oraz omówienie procedury instalacji i skonfigurowania takiego narzêdzia. G³ównym za³o¿eniem ksi¹¿ki „Wykrywanie w³amañ i aktywna ochrona danych” jest wype³nienie tej luki. Ksi¹¿ka przedstawia systemy detekcji w³amañ i sposoby korzystania z nich. Pokazuje równie¿ rodzaje i techniki ataków hakerskich oraz metody reagowania na w³amania i próby w³amañ. • Anatomia ataku • Zasady wykrywania w³amañ do sieci • Wykrywanie ġladów ataku • Ēród³a informacji o atakach • Czynniki warunkuj¹ce bezpieczeñstwo systemu • Narzêdzia do wykrywania ataków • Instalacja i konfiguracja systemu detekcji w³amañ oraz administrowanie nim • Bezpieczeñstwo systemu wykrywania ataków • Reagowanie na zdarzenia zachodz¹ce w sieci Zabezpiecz swoj¹ sieæ za pomoc¹ nowoczesnych technik i narzêdzi. Spis treści Wstęp ...................................................z............................................ 9 Docelowy krąg odbiorców ...................................................r........................................... 10 Przegląd treści ...................................................r...................................................r........... 11 Rozdział 1. Wykrywanie włamań — wprowadzenie .............................................. 15 Znaczenie systemów wykrywania włamań...................................................r................... 15 Poziomy systemu informatycznego...................................................r.............................. 19 Tradycyjne środki bezpieczeństwa ...................................................r............................... 20 Wady tradycyjnych środków bezpieczeństwa ...................................................r........ 20 Omijanie zapór sieciowych ...................................................r.................................... 22 Podsumowanie ...................................................r...................................................r.......... 34 Rozdział 2. Anatomia ataku ...................................................z............................ 35 Zdarzenia związane z bezpieczeństwem...................................................r....................... 35 Luki i podatność na włamanie ...................................................r...................................... 36 Klasyfikacja luk ...................................................r...................................................r.. 36 Ataki...................................................r...................................................r.......................... 41 Nieformalny model ataku...................................................r....................................... 43 Model ataku tradycyjnego...................................................r...................................... 44 Model ataku rozproszonego ...................................................r................................... 45 Skutki ataku ...................................................r...................................................r........ 54 Etapy realizacji ataku ...................................................r............................................. 56 Narzędzia realizacji ataku ...................................................r...................................... 66 Klasyfikacja ataków ...................................................r............................................... 67 Bazy danych luk i ataków ...................................................r...................................... 68 Incydenty...................................................r...................................................r................... 70 Włamywacze ...................................................r...................................................r............. 71 Cele włamywaczy ...................................................r.................................................. 74 Podsumowanie ...................................................r...................................................r.......... 79 Rozdział 3. Wprowadzenie do wykrywania włamań.............................................. 81 Wspomaganie zapór sieciowych ...................................................r.................................. 84 Kontrola dostępu do plików ...................................................r......................................... 84 Kontrolowanie nierzetelnych pracowników i zapobieganie wyciekom informacji ......... 85 Ochrona antywirusowa...................................................r................................................. 85 Kontrolowanie poczynań administratorów...................................................r................... 86 Kontrolowanie dostępu do internetu...................................................r............................. 87 Wykrywanie nieznanych urządzeń...................................................r............................... 88 4 Wykrywanie włamań i aktywna ochrona danych Analiza efektywności konfiguracji zapory sieciowej ...................................................r... 88 Analiza przepływu informacji ...................................................r...................................... 89 Analiza danych urządzeń sieciowych...................................................r........................... 89 Zbieranie dowodów i reagowanie na incydenty ...................................................r........... 89 Inwentaryzacja zasobów i tworzenie mapy sieci ...................................................r.......... 90 Wykrywanie konfiguracji domyślnych...................................................r......................... 91 Kontrolowanie efektywności działu informatycznego...................................................r.. 92 Systemy wykrywania włamań a inne narzędzia zabezpieczające .................................... 92 Podsumowanie ...................................................r...................................................r.......... 93 Rozdział 4. Trzy podstawowe zasady wykrywania włamań ................................... 95 Przesłanki ataku...................................r...................................................r.........................95 Powtarzające się zdarzenia...................................................r..................................... 96 Monitorowanie liczby powtórzeń...................................................r........................... 97 Monitorowanie odstępu czasowego pomiędzy zdarzeniami...................................... 98 Niepoprawne polecenia...................................................r........................................ 101 Próby wykorzystywania luk ...................................................r................................. 103 Nieprawidłowe (nietypowe) parametry ruchu sieciowego ...................................... 104 Źródła informacji o atakach ...................................................r................................. 125 Technologie wykrywania włamań...................................................r........................ 130 Wykrywanie włamań — dwa podejścia ...................................................r............... 132 Podsumowanie ...................................................r...................................................r........ 140 Rozdział 5. Wykrywanie śladów ataku ...................................................z............ 141 Kontrola spójności plików i katalogów ...................................................r...................... 143 Dane o ważnych plikach i katalogach ...................................................r.................. 147 Kontrola spójności plików i katalogów...................................................r................ 149 Analiza plików dziennika ...................................................r........................................... 149 Analiza ruchu sieciowego...................................................r........................................... 153 Analiza powiadomień...................................................r................................................. 153 Analiza procesów, usług i portów ...................................................r.............................. 154 Wykrywanie nieautoryzowanej instalacji urządzeń...................................................r.... 155 Regularny przegląd urządzeń ...................................................r............................... 155 Monitorowanie modemów ...................................................r................................... 156 Kontrolowanie dostępu do zasobów fizycznych ...................................................r.. 157 Analiza zewnętrznych źródeł informacji i analiza zachowania systemu ....................... 157 Podsumowanie ...................................................r...................................................r........ 158 Rozdział 6. Klasyfikacja systemów wykrywania włamań.................................... 159 Systemy zapewniania bezpieczeństwa...................................................r........................ 161 Systemy wyszukujące słabości projektu ...................................................r.............. 162 Systemy wykrywające wady fazy konfiguracji ...................................................r.... 167 Klasyczne systemy wykrywania włamań i programy analizujące pliki dzienników ..... 176 Rys historyczny...................................................r...................................................r. 176 Klasyfikacja systemów wykrywania włamań — wstęp .......................................... 178 Architektura systemu wykrywania włamań ...................................................r......... 181 Stanowiskowe systemy wykrywania włamań ...................................................r...... 185 Sieciowe systemy wykrywania włamań...................................................r............... 190 Narzędzia wykrywania ataków odmowy obsługi ...................................................r. 199 Systemy wykrywania włamań a zapory sieciowe...................................................r. 201 Systemy zwodzące (wabiki)...................................................r................................. 202 Podsumowanie ...................................................r...................................................r........ 210 Spis treści 5 Rozdział 7. Uprzedzanie ataków czyli tworzenie infrastruktury wykrywania włamań ...................................................z.................... 211 Szkolenie personelu...................................................r...................................................r. 214 Ośrodki szkoleniowe ...................................................r.................................................. 216 Szkolenia on-line...................................................r.................................................. 217 Seminaria on-line ...................................................r................................................. 217 Seminaria i konferencje...................................................r........................................ 217 Gry symulacyjne ...................................................r.................................................. 218 Certyfikacja...................................................r...................................................r....... 219 Definiowanie procedur i zasad bezpieczeństwa...................................................r.......... 219 Wybór i stosowanie systemowych i sieciowych mechanizmów rejestrowania zdarzeń...................................................r.. 223 Rejestrowane informacje...................................................r...................................... 224 Użyteczność wbudowanych mechanizmów rejestrowania informacji o zdarzeniach ...................................................r............. 224 Rejestrowanie zdarzeń...................................................r.......................................... 226 Ochrona plików dzienników ...................................................r................................ 226 Plan zarządzania plikami dzienników ...................................................r.................. 228 Generowanie informacji dla systemów kontroli spójności ............................................ 230 Mapa sieci ...................................................r...................................................r......... 231 Archiwizacja ważnych plików i katalogów...................................................r.......... 233 Podsumowanie ...................................................r...................................................r........ 234 Rozdział 8. Cykl życia i etapy wdrożenia systemu wykrywania włamań ................... 235 Cykl życia projektu wdrożenia infrastruktury wykrywania włamań ............................. 236 Planowanie...................................................r...................................................r........ 236 Wybór producenta...................................................r................................................ 237 Testowanie ...................................................r...................................................r........ 237 Projekt pilotażowy ...................................................r............................................... 238 Instalacja ...................................................r...................................................r........... 238 Obsługa i konserwacja ...................................................r......................................... 238 Uzasadnianie zakupu...................................................r.................................................. 238 Łączny koszt posiadania ...................................................r...................................... 240 Stopa zwrotu z inwestycji ...................................................r.................................... 243 Uruchamianie systemu wykrywania włamań ...................................................r....... 247 Rozdział 9. Wybór systemu wykrywania włamań ............................................... 249 Analiza wstępna ...................................................r...................................................r...... 250 Co chronić? ...................................................r...................................................r....... 250 Przed czym chronić? ...................................................r............................................ 252 Przed kim chronić?...................................................r............................................... 252 Jak chronić? ...................................................r...................................................r...... 253 Jakie narzędzia angażować do ochrony? ...................................................r.............. 255 Nabywcy systemów wykrywania włamań...................................................r.................. 255 Małe firmy...................................................r...................................................r......... 256 Duże firmy z filiami ...................................................r............................................. 256 Korporacje międzynarodowe ...................................................r............................... 256 Dostawcy usług internetowych ...................................................r............................ 257 Dostawcy usług informatycznych ...................................................r........................ 258 Kryteria oceny systemów wykrywania włamań ...................................................r......... 258 Miejsce instalowania...................................................r............................................ 259 Źródła informacji i metody analizy ...................................................r...................... 260 Tryby przetwarzania...................................................r............................................. 260 Architektura ...................................................r...................................................r...... 260 Obsługiwane platformy ...................................................r........................................ 262 6 Wykrywanie włamań i aktywna ochrona danych Wykrywanie włamań ...................................................r........................................... 262 Liczba wykrywanych ataków...................................................r............................... 262 Aktualizacje sygnatur...................................................r........................................... 263 Definiowanie własnych zdarzeń...................................................r........................... 267 Reakcje na ataki ...................................................r...................................................r 278 Zarządzanie czujnikami...................................................r........................................ 286 Zarządzanie zdalne...................................................r............................................... 286 Zarządzanie hierarchiczne...................................................r.................................... 288 Zarządzanie zdarzeniami...................................................r...................................... 289 Wydajność systemu wykrywania włamań...................................................r............ 309 Instalacja i konfiguracja ...................................................r....................................... 310 Dostępność interfejsów i zestawów programistycznych ......................................... 311 Wsparcie techniczne...................................................r............................................. 311 Cena ...................................................r...................................................r.................. 313 Elastyczność...................................................r...................................................r...... 313 Inne kryteria ...................................................r...................................................r...... 313 Testowanie ...................................................r...................................................r.............. 314 Podsumowanie ...................................................r...................................................r........ 318 Rozdział 10. Umiejscowienie systemu wykrywania włamań ................................. 319 Rozmieszczenie czujników systemu wykrywania włamań............................................ 319 Czujnik sieciowy pomiędzy zaporą sieciową a routerem ........................................ 320 Czujnik sieciowy w strefie zdemilitaryzowanej ...................................................r... 321 Czujnik za zaporą sieciową ...................................................r.................................. 322 Czujniki w kluczowych segmentach chronionej sieci lokalnej ............................... 323 Czujnik w pobliżu serwera dostępu zdalnego ...................................................r...... 323 Czujnik w sieci szkieletowej ...................................................r................................ 324 Czujniki w oddziałach regionalnych ...................................................r.................... 325 Równoważenie obciążenia ...................................................r................................... 325 Przypadki szczególne ...................................................r........................................... 328 Czujniki systemu wykrywania włamań w sieciach przełączanych ................................ 331 Wykorzystanie portu analizatora...................................................r.......................... 333 Podłączenie dodatkowego koncentratora sieciowego.............................................. 336 Zastosowanie rozdzielacza...................................................r................................... 337 Zastosowanie urządzeń równoważących obciążenie............................................... 340 Integrowanie systemów wykrywania włamań z przełącznikami sieciowymi.......... 341 Umiejscowienie skanera bezpieczeństwa ...................................................r................... 342 Umiejscowienie systemów kontroli spójności...................................................r............ 344 Umiejscowienie systemów zwodzących ...................................................r.............. 344 Umiejscowienie konsol sterujących ...................................................r........................... 345 Czynniki wpływające na konfigurację systemu wykrywania włamań........................... 346 Obciążenie sieci i intensywność ruchu...................................................r................. 347 Rodzaj transmisji w kontrolowanym segmencie ...................................................r.. 347 Średnie i szczytowe obciążenie procesora...................................................r............ 348 Średni rozmiar pakietu w chronionym segmencie...................................................r 348 Czas odpowiedzi ...................................................r.................................................. 350 Obecność sieci z segmentami przełączanymi...................................................r....... 350 Obecność routerów asymetrycznych...................................................r.................... 350 Skalowalność i rozszerzalność systemu ...................................................r............... 351 Zgodność z istniejących sprzętem i oprogramowaniem .......................................... 351 Szyfrowanie ...................................................r...................................................r...... 351 Odległość pomiędzy czujnikami a konsolą sterującą .............................................. 351 Zabezpieczenia na linii konsola-czujnik ...................................................r.............. 352 Dynamiczny przydział adresów w kontrolowanym segmencie sieci (DHCP)......... 352 Współpraca z działem informatycznym ...................................................r............... 353 Spis treści 7 Rozdział 11. Obsługa systemów wykrywania włamań.......................................... 355 Wybór węzła dla systemu wykrywania włamań...................................................r......... 356 Wybór platformy...................................................r.................................................. 356 Węzeł dedykowany systemowi obsługi włamań ...................................................r.. 359 Zakup systemu wykrywania włamań...................................................r.......................... 360 Zakup wymaganego sprzętu i oprogramowania ...................................................r... 360 Zakup dokumentacji i usług wsparcia technicznego ............................................... 367 Instalacja i rozruch systemu wykrywania włamań ...................................................r..... 369 Wyznaczanie bazy wiedzy dla (klasycznych) systemów wykrywania włamań............. 375 Wyznaczanie bazy wiedzy dla (klasycznych) skanerów bezpieczeństwa...................... 378 Strategia skanowania...................................................r............................................ 379 Taktyki skanowania ...................................................r............................................. 381 Konfiguracja mechanizmu rejestrowania zdarzeń i mechanizmów ostrzegawczych..... 384 Pliki dzienników ...................................................r.................................................. 384 Powiadamianie pocztą elektroniczną i za pomocą SNMP....................................... 387 Zabezpieczanie systemu wykrywania włamań ...................................................r........... 387 Obwód rezerwowy ...................................................r............................................... 388 Zabezpieczanie przed nieuprawnionym dostępem .................................................. 389 Ograniczanie liczby użytkowników systemu wykrywania włamań ........................ 389 Kontrola dostępu do komponentów systemu wykrywania włamań......................... 390 Określenie zasad bezpieczeństwa...................................................r......................... 391 Działanie w trybie utajonym ...................................................r................................ 391 Automatyzacja ...................................................r...................................................r.. 392 Możliwe problemy ...................................................r............................................... 394 Podsumowanie ...................................................r...................................................r........ 396 Rozdział 12. Problemy typowe dla systemów wykrywania włamań....................... 397 Problemy natury ogólnej ...................................................r............................................ 398 Aktualizacje bazy danych sygnatur...................................................r...................... 398 Heterogeniczność sieci...................................................r......................................... 398 Ujednolicenie zarządzania bezpieczeństwem...................................................r....... 399 Podatność systemów operacyjnych ...................................................r...................... 400 Brak matematycznych podstaw technologii ...................................................r......... 401 Fałszywe alarmy...................................................r...................................................r 401 Fałszywe pominięcia...................................................r............................................ 401 Rozwój narzędzi automatyzujących włamania...................................................r..... 402 Trudności wykrywania włamań ...................................................r........................... 405 Ataki na systemy wykrywania włamań...................................................r................ 406 Brak współpracy pomiędzy producentami ...................................................r........... 407 Nieustanny łańcuch przejęć i fuzji ...................................................r....................... 407 Aktywne reagowanie...................................................r............................................ 413 Przywrócenie systemu do stanu sprzed ataku...................................................r....... 414 Co robić w obliczu ataku?...................................................r.................................... 415 Testowanie systemów wykrywania włamań ...................................................r........ 416 Kompresja semantyczna...................................................r....................................... 417 Brak mechanizmów gromadzenia dowodów sądowych .......................................... 417 Ograniczenia sieciowych systemów wykrywania włamań ............................................ 418 Sieci przełączane...................................................r.................................................. 418 Sieci z komunikacją szyfrowaną ...................................................r.......................... 418 Modemy ...................................................r...................................................r............ 419 Niedostatek zasobów...................................................r............................................ 419 Prowokowanie awarii systemów wykrywania włamań ........................................... 421 Oszustwa proste ...................................................r...................................................r 423 Oszustwa wyrafinowane ...................................................r...................................... 425 8 Wykrywanie włamań i aktywna ochrona danych Ograniczenia stanowiskowych systemów wykrywania włamań.................................... 426 Rozmiar pliku dziennika ...................................................r...................................... 426 Interwał archiwizacji dzienników...................................................r......................... 426 Ograniczona wydajność ...................................................r....................................... 426 Ochrona plików dzienników ...................................................r................................ 427 Rodzaj i poziom szczegółowości rejestrowanych informacji.................................. 427 Brak jednolitego formatu zapisu danych...................................................r.............. 427 Podsumowanie ...................................................r...................................................r........ 428 Rozdział 13. Standaryzacja w dziedzinie wykrywania włamań .............................. 429 Adaptive Network Security Alliance...................................................r.......................... 429 Projekt Lincoln Laboratory ...................................................r........................................ 430 Projekt OSEC ...................................................r...................................................r.......... 431 Intrusion Detection Systems Consortium ...................................................r................... 431 OPSEC ...................................................r...................................................r....................432 Common Content Inspection...................................................r...................................... 432 Common Intrusion Detection Framework ...................................................r.................. 432 Intrusion Detection Working Group...................................................r........................... 433 Baza danych CVE ...................................................r...................................................r... 433 Baza danych ICAT ...................................................r...................................................r.. 434 Projekty agencji DARPA ...................................................r........................................... 435 Rozdział 14. Reagowanie na incydenty...................................................z............ 437 Nieuprawnione zmiany w systemie...................................................r...................... 441 Dokumentowanie wszystkich nieudanych ataków .................................................. 442 Podsumowanie ...................................................r...................................................r........ 442 Dodatek A Porty okupowane przez konie trojańskie ......................................... 443 Dodatek B Najczęściej skanowane porty ...................................................z...... 469 Dodatek C Zakresy adresów IP w internecie...................................................z. 473 Dodatek D Domeny najwyższego poziomu ...................................................z..... 475 Dodatek E Identyfikatory protokołów (IPv4) ...................................................z. 483 Dodatek F Bibliografia ...................................................z................................. 487 Skorowidz...................................................z................................... 497 Rozdział 4. Trzy podstawowe zasady wykrywania włamań Niezwyciężoność leży w naszej gestii, a podatność na przegraną w gestii przeciwnika. A zatem biegły w sztuce wojennej może ouczynić siebie niezwyciężonym, ale nie może spowodować, aby wróg stał się podatny na porażkę — Sun Tzu, Sztuka Wojny Aby wdrażana w systemie technologia wykrywania włamań była efektywna, należy udzielić odpowiedzi na następujące trzy pytania:  Co wykrywać? Należy umieć rozpoznać przesłanki wskazujące na naruszenie reguł bezpieczeństwa.  Gdzie wykrywać? Należy umieć wskazać źródła informacji, w których można szukać przesłanek co do naruszenia reguł bezpieczeństwa.  Jak wykrywać? Należy poznać metody analizy informacji pozyskanych ze wspomnianych źródeł celem wykrycia na ich podstawie ewentualnego faktu naruszenia reguł bezpieczeństwa. Przesłanki ataku Aby wykryć fakt naruszenia przyjętych w danym systemie reguł bezpieczeństwa (na podstawie analizy ruchu sieciowego albo plików dziennika), należy uprzednio nabyć wiedzę o sposobie identyfikowania takich faktów i odróżniania ich od normalnych zdarzeń związanych z bezpieczeństwem. Przesłankami ataku mogą być następujące zdarzenia [Edward1-99]:  powtarzające się konkretne zdarzenia;  niepoprawne polecenia albo polecenia niepasujące do bieżącego stanu systemu;  próby wykorzystywania luk; 96 Wykrywanie włamań i aktywna ochrona danych  nieprawidłowe (nietypowe) parametry ruchu sieciowego;  niespodziewane atrybuty poleceń;  niewytłumaczalne problemy;  dodatkowe informacje o naruszeniach bezpieczeństwa. Tradycyjne narzędzia zabezpieczające (zapora sieciowa, serwer uwierzytelniania, system kontroli dostępu itd.) opierają swoje działanie na obserwacji jednego lub najwyżej dwóch zdarzeń z powyższej listy; systemy wykrywania włamań (choć zależy to od ich implementacji) mogą brać pod uwagę wszystkie wymienione przesłanki. Niniejszy rozdział powinien pomóc Czytelnikowi zrozumieć sposoby podejmowania decyzji implementowane we współczesnych systemach wykrywania włamań. Programi- stom mógłby zaś pomóc w tworzeniu własnych systemów wykrywania włamań i nie- autoryzowanej działalności. Dotyczy to zwłaszcza tych programistów, którzy zajmują się tworzeniem aplikacji finansowych i zautomatyzowanych systemów dla potrzeb komunikacji. Opisy przesłanek nieuprawnionej działalności mogą okazać się przydat- ne również tym, którzy nie mają do dyspozycji zautomatyzowanych systemów wykry- wania włamań i skazani są na samodzielną analizę stanu systemu. Powtarzające się zdarzenia Rozpoznanie konkretnych czynności i zdarzeń, które zachodzą w systemie w sposób powtarzalny, to jedna z najlepszych metod wykrywania włamań. Mechanizm ten bazuje na założeniu, że w przypadku niepowodzenia pierwszej próby ataku intruz powtarza próbę odwołania się do pożądanego zasobu. Za taką próbę można uznać również ska- nowanie portów w poszukiwaniu dostępnych usług sieciowych i próby odgadnięcia hasła. Algorytmy wykrywania takich prób muszą rozpoznawać fakt powtarzalności zdarzenia i decydować, od jakiej liczby prób można mówić o ataku. Wypada jednak zaznaczyć, że jeśli intruz wie dokładnie, w jaki sposób powinien odwołać się do za- sobu (albo, na przykład, zdoła przechwycić nazwę kont i hasło użytkownika upraw- nionego) i nie popełni przy realizacji procedury żadnego błędu, jego próba uzyskania nieuprawnionego dostępu będzie praktycznie niemożliwa do wykrycia. Jeśli włamy- wacz zdoła dla własnych potrzeb utworzyć dokładny, działający model atakowanego celu i nabędzie nieco wprawy w imitowaniu czynności użytkowników autoryzowa- nych, jego poczynania również zostaną najprawdopodobniej niezauważone. Jednak utworzenie modelu atakowanego celu to operacja niezwykle kosztowna i znakomitej większości włamywaczy (tych działających na własną rękę) zwyczajnie nie stać na jej przeprowadzenie. Wykrywanie powtarzających się zdarzeń to metoda efektywna, ponieważ pozwala na wykrycie również tych ataków, co do których nie ma żadnych dodatkowych informa- cji (czyli również na wykrywanie nieznanych dotąd ataków). Jako kryterium zalicze- nia obserwowanych prób do ataku można uwzględnić dwa czynniki:  Liczbę powtórzeń zdarzenia przekraczającą pewną założoną wartość ustaloną jako normę (jak w przypadku liczby prób logowania się do sieci).  Okres, w którym obserwuje się powtarzalne zdarzenia. Rozdział 4. ♦ Trzy podstawowe zasady wykrywania włamań 97 Monitorowanie liczby powtórzeń W tym przypadku należy kontrolować liczbę powtórzeń zdarzenia i porównywać ją z pewnym przyjętym dla klasy podobnych zdarzeń progiem; przekroczenie tego pro- gu odróżnia zdarzenia autoryzowane od nieautoryzowanych. W przypadku tych drugich może chodzić o zwykłe błędy, niekoniecznie o atak. Tak czy inaczej system wykryje każdy przypadek przekroczenia dozwolonej liczby powtórzeń. Dla różnych składników systemu i różnych kategorii zdarzeń wartości progowe należy dobierać doświadczal- nie. Typowym przykładem kontrolowania dozwolonej liczby powtórzeń dla pewnej klasy zdarzeń jest ograniczenie liczby prób logowania użytkownika do sieci. Sposób ustawienia takiej wartości progowej dla liczby prób logowania w systemie Windows 2000 pokazuje rysunek 4.1. Rysunek 4.1. Określanie maksymalnej liczby dozwolonych prób logowania w systemie Windows 2000 Trzeba pamiętać, że niewłaściwy dobór wartości progowej może dać efekt w postaci rejestrowania znacznej liczby fałszywych alarmów, albo odwrotnie — przeoczenia pewnej liczby faktycznych prób ataku. Jeśli wartość progowa jest zbyt niska, system wykrywania włamań będzie stosunkowo często stwierdzał zaistnienie ataku, również w przypadkach zupełnie typowych. Kiedy wartość progowa będzie zbyt wysoka, pewna liczba ataków pozostanie niewykryta. 98 Wykrywanie włamań i aktywna ochrona danych Atak na sieć Banku Westminsterskiego Kasjer Banku Westminsterskiego nawiązał połączenie dial-up z siecią banku ze swojego komputera domowego. Następnie przeprowadził 1 200 transakcji, w ramach każdej z nich przelewając 10 funtów na swoje prywatne konto. Przelewy pozostały niewykryte, ponieważ tak niewielkie kwoty nie podlegały kontroli. Poczynania nie- uczciwego kasjera zostały zauważone dopiero, kiedy ten spróbował przelać więk- szą kwotę (984 funtów) na konto swojego przyjaciela. Bank ukarał kasjera i zażą- dał rekompensaty w kwocie 15 tysięcy funtów. Sąd odrzucił jednak roszczenia banku, obciążając bank za niedopełnienie obowiązku ochrony swoich zasobów. Monitorowanie odstępu czasowego pomiędzy zdarzeniami Typowym przykładem zastosowania metody polegającej na pomiarze upływu czasu pomiędzy zdarzeniami jest wykrywanie ataku skanowania portów (patrz listing 4.1), czyli wykonywanych w zwykle krótkim przedziale czasu prób nawiązania połączenia z poszczególnymi portami węzła. Od tego momentu wszystkie elementy listingów, które zasługują na szczególną uwagę, będą wyróżniane pogrubieniem; większość listin- gów zamieszczanych tu w roli przykładów zaczerpniętych zostało albo z witryny http:// www.incidents.org/logs/, albo wziętych z praktycznych ćwiczeń prowadzonych w ra- mach przygotowywania do egzaminu Global Information Assurance Certification Certified Intrusion Analyst (www.giac.org/GCIA.php). Wracając do skanowania por- tów, może być ono przeprowadzone za pośrednictwem rozmaitych programów róż- niących się implementacją mechanizmu skanowania. Najprostsze z nich, jak Haktek, po prostu sondują wszystkie porty z zakresu zadanego numerem początkowym i koń- cowym (listing 4.1). Listing 4.1. Skanowanie portów za pomocą programu Haktek (fragment pliku dziennika TCPdump) 95A.7-+ * 95A.7-#5  YKPOUU ( 95A.7-+ * 95A.7-#5  YKPOUU ( 95A.7-+ * 95A.7-#5  YKPOUU ( 95A.7-+ * 95A.7-#5  YKPOUU ( 95A.7-+ * 95A.7-#5  YKPOUU ( 95A.7-+ * 95A.7-#5  YKPOUU ( 95A.7-+ * 95A.7-#5  YKPOUU ( 95A.7-+ * 95A.7-#5  YKPOUU ( 95A.7-+ * 95A.7-#5  YKPOUU ( 95A.7-+ * 95A.7-#5  YKPOUU ( Rozdział 4. ♦ Trzy podstawowe zasady wykrywania włamań 99 95A.7-+ * 95A.7-#5  YKPOUU ( 95A.7-+ * 95A.7-#5  YKPOUU ( 95A.7-+ * 95A.7-#5  YKPOUU ( Warto pamiętać, że również niepoprawne dobranie progowej częstotliwości zdarzenia może prowadzić do generowania przez system wykrywania włamań fałszywych alar- mów albo pomijania faktycznych ataków. Rozpoznanie ataku polegającego na skanowaniu portów jest stosunkowo proste. Jed- nak tak ograniczone ataki jak wykorzystujące skanery portów przeprowadzane są ra- czej rzadko i tylko przez użytkowników nie dość wykwalifikowanych, nieznających bardziej zaawansowanych narzędzi. Znakomitym przykładem takiego zaawansowa- nego narzędzia jest Nmap (http://www.nmap.org), produkt dostępny w wersjach dla większości odmian Uniksa i Windows. Program ten implementuje znaczną liczbę try- bów skanowania — w wersji 3.00 obsługuje 10 różnych rodzajów skanowania (patrz listingi 4.2 do 4.4). Listing 4.2. Skanowanie portów programem Nmap z opcją -sT (fragment pliku dziennika TCPdump) 95A.7-# 95A.7-+ *5  YKPOUU   ( 95A.7-# 95A.7-+ *5  YKPOUU   ( 95A.7-# 95A.7-+ *5  YKPOUU   ( 95A.7-# 95A.7-+ *5  YKPOUU   ( 95A.7-# 95A.7-+ *5  YKPOUU   ( 95A.7-# 95A.7-+ *5  YKPOUU   ( 95A.7-# 95A.7-+ *5  YKPOUU   ( 95A.7-# 95A.7-+ *5  YKPOUU   ( 95A.7-# 95A.7-+ *5  YKPOUU   ( 95A.7-# 95A.7-+ *5  YKPOUU   ( 95A.7-# 95A.7-+ *5  YKPOUU   ( Listing 4.3. Skanowanie portów programem Nmap z opcją -sS (fragment pliku dziennika TCPdump) 95A.7-# 95A.7-+ *5  YKP 95A.7-# 95A.7-+ *5  YKP 95A.7-# 95A.7-+ *5  YKP 95A.7-# 95A.7-+ *5  YKP 95A.7-# 95A.7-+ *5  YKP 95A.7-# 95A.7-+ *5  YKP 95A.7-# 95A.7-+ *5  YKP 100 Wykrywanie włamań i aktywna ochrona danych 95A.7-# 95A.7-+ *5  YKP 95A.7-# 95A.7-+ *5  YKP 95A.7-# 95A.7-+ *5  YKP 95A.7-# 95A.7-+ *5  YKP 95A.7-# 95A.7-+ *5  YKP 95A.7-# 95A.7-+ *5  YKP 95A.7-# 95A.7-+ *5  YKP 95A.7-# 95A.7-+ *5  YKP 95A.7-# 95A.7-+ *5  YKP 95A.7-# 95A.7-+ *5  YKP Listing 4.4. Skanowanie portów programem Nmap z opcją -sU (fragment pliku dziennika TCPdump) 95A.7-# 95A.7-+ *WFR 95A.7-# 95A.7-+ *WFR 95A.7-# 95A.7-+ *5WFR 95A.7-# 95A.7-+ *5WFR 95A.7-# 95A.7-+ *5WFR 95A.7-# 95A.7-+ *5WFR 95A.7-# 95A.7-+ *5WFR 95A.7-# 95A.7-+ *5WFR Wszystkie trzy fragmenty pliku dziennika programu TCPdump są ciekawe, ponieważ numery skanowanych portów nie są zwiększane o jeden (jak w przypadku zwykłego skanowania), ale dobierane w sposób losowy. Aby jeszcze bardziej utrudnić wykrycie skanowania, numery raz rosną, a raz maleją. Dodatkowo, aby ukryć fakt realizacji ty- powego skanowania, program Nmap niekiedy powtórnie sonduje te same porty (na li- stingach były to porty 427 i 447). Poza klasycznymi atakami skanowania, łatwo wykrywanymi przez zapory sieciowe (patrz listing 4.5), atakujący stosują bardziej wyrafinowane metody wyszukiwania luk, których nie sposób wykryć i rozpoznać za pośrednictwem tradycyjnych mechanizmów zabezpieczających. Mowa między innymi o skanowaniu utajonym, w którym wyko- rzystywane są specyficzne cechy sposobu przetwarzania pakietów sieciowych, które nie spełniają wymogów standardu TCP/IP. Te metody skanowania zostaną omówione nieco później. Listing 4.5. Wykrywanie skanowania portów (fragment pliku dziennika zapory sieciowej CheckPoint Firewall-1)  GEFCGOQPNQECNJQUVCNGTVCEEGRV ZZZZZZZZKR /# CFFKVKQPCNUCVVCEMDNQEMGFAEQPPGEVKQPARQTVAUECPPKPI  GEFCGOQPNQECNJQUVCNGTVCEEGRV ZZZZZZZZKR /# CFFKVKQPCNUCVVCEMDNQEMGFAEQPPGEVKQPARQTVAUECPPKPI  GEFCGOQPNQECNJQUVCNGTVCEEGRV ZZZZZZZZKR /# CFFKVKQPCNUCVVCEMDNQEMGFAEQPPGEVKQPARQTVAUECPPKPI Kolejną zaawansowaną metodą skanowania, utrudniającą jego wykrycie, jest zwięk- szenie odstępu czasowego pomiędzy kolejnymi próbami sondowania portów czy wę- złów. Zwykle skanery portów działają z prędkością 5 do 10 portów na sekundę. Gdyby Rozdział 4. ♦ Trzy podstawowe zasady wykrywania włamań 101 zmienić domyślne opóźnienia czasowe (jak w trybie U+ skanera Nmap w wersji 3.00 albo trybie 6 w wersjach 2.xx), większość systemów wykrywania włamań mogłaby nie zarejestrować podejrzanej działalności, interpretując ją jako mieszczącą się w gra- nicach normy (listing 4.6). Listing 4.6. Sondowanie węzłów (fragment pliku dziennika TCPdump)  KEORGEJQTGSWGUV  KEORGEJQTGSWGUV  KEORGEJQTGSWGUV  KEORGEJQTGSWGUV  KEORGEJQTGSWGUV  KEORGEJQTGSWGUV  KEORGEJQTGSWGUV Monitorowanie odstępów czasowych pomiędzy zdarzeniami może być wykorzysty- wane również do wykrywania ataków odmowy obsługi. Na przykład należący do tej kategorii atak Smurf charakteryzuje się zastosowaniem pakietów rozgłoszeniowych transmitowanych z dość długim interwałem. Niekiedy pakiety takie były wysyłane przez kilka dni, co rzecz jasna musiało doprowadzić do załamania atakowanej sieci niezdolnej już do przetwarzania pakietów uprawnionych. Poniżej (na listingu 4.7) pre- zentowany jest fragment pliku dziennika routera Cisco, który zarejestrował ataki Smurf i Fraggle (Fraggle jest podobny do ataku Smurf, tyle że wykorzystuje protokół UDP). W praktyce liczba wpisów pliku dziennika zarejestrowanych podczas ataku znacznie przekraczałaby setkę. Listing 4.7. Zarejestrowane ataki Smurf i Fraggle (fragment pliku dziennika routera Cisco) GE5 +2# 55.1) 2NKUV+PVGTPGVFGPKGFKEOR   RCEMGV GE5 +2# 55.1) 2NKUV+PVGTPGVFGPKGFKEOR   RCEMGVU GE5 +2# 55.1) 2NKUV+PVGTPGVFGPKGFWFR   RCEMGV GE5 +2# 55.1) 2NKUV+PVGTPGVFGPKGFKEOR   RCEMGVU GE5 +2# 55.1) 2NKUV+PVGTPGVFGPKGFKEOR   RCEMGVU Niepoprawne polecenia Kolejna metoda wykrywania nieuprawnionych działań polega na wykrywaniu i anali- zie niepoprawnych poleceń, na przykład niepoprawnych żądań kierowanych do serwe- rów czy niepoprawnych odpowiedzi na żądania. Niepoprawność odpowiedzi w komu- nikacji pozwala wysnuć wniosek, że jedna ze stron wymiany informacji — albo żądający informacji, albo zwracający niespodziewaną odpowiedź — została podmieniona. Nie sposób byłoby zaprezentować wszystkie możliwe przypadki ataków polegających na wydaniu niepoprawnego polecenia czy udzielenia niepoprawnej odpowiedzi w najgrub- szej nawet książce. W ramach przykładu możemy rozważyć podatny na ataki skrypt CGI serwera WWW (jak okazało się w rozdziale 2., dziurawe skrypty CGI to jedna 102 Wykrywanie włamań i aktywna ochrona danych z najpowszechniejszych luk w zabezpieczeniach). W przykładzie prezentowanym poniżej, analizując wpisy pliku dziennika serwera (ręcznie albo za pośrednictwem systemu wykrywania włamań), można wykryć dwa odwołania do szeregu nieistnieją- cych skryptów CGI (listing 4.8 i listing 4.9). Listing 4.8. Wykrywanie skanowania w poszukiwaniu podatnych skryptów CGI (fragment pliku dziennika serwera WWW) =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPCINKORUG =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGUETKRVUKKUCFOKPDFKTJVT =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKFQUCTIUDCV =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKP#P[(QTO =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPECORCU =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKP QWPVEIK =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGECTDQFNN =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPHKPIGT =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPHCZUWTXG[ =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPJVONUETKRV =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPJCPFNGT =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPOCPUJ =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPLL =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPRHFKURNC[EIK =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPPRJVGUVEIK =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPRJREIK =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPRJH =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGUGCTEJXVU =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPVGUVEIK =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKYKPWRNQCFGTGZG =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPVGZVEQWPVGTRN =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPXKGYUQWTEG =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPYGDFKUVEIK =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPYGDUGPFOCKN Rozdział 4. ♦ Trzy podstawowe zasady wykrywania włamań 103 =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPYGDICKU =/QP GE?=GTTQT?=ENKGPV?(KNGFQGUPQVGZKUV YGDJQOGYYYYYYAJQOGEIKDKPYYYUSN Listing 4.9. Wykrywanie odwołań do podatnych na ataki skryptów CGI (jak test-cgi) i Aglimpse (fragment pliku dziennika programu Snort)  2  CEM YKP (  VVNKF FHDHHCHFC O G, CFHGCDFF2EZ,V CHHH2,2156EI FGHFKDKPVGUVEIK* HGCHGGF662 QPVGPV CCCHGGFV[RG  QPVGPV EGCCCNGPIVJ  2   CEMYKP (  VVNKF GHGCHFC  4, CCDDHDHFF2!CY H2) 6EIK FGHEFHDKPCINKORUG EFHDFFHH+(5A / AGEJQ EDHHFEF GEJQAKFCINKOR EDGFHFEDUG WPCOGAC KF DEFDHGXCN / *662 GCC Próby wykorzystywania luk Zgodnie ze znanymi już Czytelnikowi klasyfikacjami i definicjami luk w zabezpiecze- niach oraz definicją ataku, wszelkie przesłanki wskazujące na zajście ataku wskazują też na istnienie luki. Na przykład obecność niespodziewanych atrybutów w żądaniach czy pakietach można sklasyfikować jako luki projektowe albo luki fazy implementacji. Jednak proces angażujący zautomatyzowane narzędzia wyszukiwania najpopularniej- szych luk (czyli tak zwane skanery bezpieczeństwa) i proces samego ataku wykorzy- stującego ewentualnie odkryte luki to osobne kategorie ataków. Wśród tzw. skanerów bezpieczeństwa mamy i narzędzia darmowe, jak X-SPider czy ShadowSecurityScan- ner, i produkty komercyjne, jak Internet Scanner czy Retina. I choć narzędzia te po- winny być wykorzystywane jako pomoc administratora i środek zabezpieczający, często jest dokładnie odwrotnie — zwłaszcza w przypadku narzędzi darmowych, niezabez- pieczonych w żaden sposób przed takimi nadużyciami. W wykrywaniu takich narzędzi wyróżniamy dwa aspekty:  Wykrywanie zastosowania skanerów bezpieczeństwa — niektóre specjalizowane narzędzia, jak system Courtney opracowany przez CIAC (Computer Incident Advisory Capability) potrafią wykryć fakt użycia skanera SATAN. 104 Wykrywanie włamań i aktywna ochrona danych  Wykrywanie realizowanego ataku — opracowany przez IIS system RealSecure Network Sensor potrafi wykryć imitowanie przez intruza czynności usprawiedliwiające działania podejmowane w ramach skanowania węzła. Samo wykrycie zastosowania skanera bezpieczeństwa nie jest równoznaczne z uzy- skaniem dowodu przeprowadzenia ataku. Narzędzia sondujące system komputerowy pod kątem znanych luk mogą być przecież wykorzystywane również w sposób auto- ryzowany. Konieczne jest więc przeprowadzenie dodatkowej analizy wszystkich za- rejestrowanych przypadków zastosowania skanerów bezpieczeństwa. Ale jeśli, na przy- kład, wkrótce po wykryciu skanowania węzła wykryta zostanie próba wykorzystania jednej ze znanych luk, można te zdarzenia powiązać, traktując oba jako dowód prze- prowadzenia ataku. Taka analiza z korelacją faktów może być przeprowadzona albo ręcznie, albo za pośrednictwem specjalizowanych narzędzi, jak RealSecure, SitePro- tector (ISS) czy netForensics (netForensics). Nieprawidłowe (nietypowe) parametry ruchu sieciowego Przesłankami ataku mogą być też inne elementy. Na przykład cechy ruchu sieciowego, w tym:  przychodzące do sieci wewnętrznej pakiety z adresami źródłowymi z sieci wewnętrznych;  niespodziewane transmisje sieciowe (np. omijające zaporę sieciową);  niespodziewane parametry ruchu sieciowego (np. niestandardowe kombinacje znaczników pakietów);  wykrycie prób skanowania sieci;  pojawiające się półotwarte połączenia charakterystyczne dla ataków odmowy obsługi;  powtarzające się próby nawiązania połączeń z rzadko wykorzystywanymi albo nieistniejącymi w sieci usługami;  powtarzające się z dużą częstotliwością próby nawiązania połączenia z węzłami lub usługami udostępnianymi przez węzły;  pojawiające się połączenia z i do niespodziewanych lokacji;  powtarzające się wielokrotnie błędne połączenia. Parametry transmisji przychodzących Najbardziej obrazowym przykładem przesłanki ataku są przychodzące do chronione- go segmentu sieci LAN pakiety z sieci zewnętrznych, których adresy źródłowe należą do zakresu adresów sieci wewnętrznej (jak na rysunku 4.2). Większość zapór siecio- wych potrafi zidentyfikować tego typu przesłanki. Rozdział 4. ♦ Trzy podstawowe zasady wykrywania włamań 105 Rysunek 4.2. Podstawienie adresu źródłowego pakietu spoza sieci Jeśli system wykrywania włamań (albo inny mechanizm zabezpieczający czy mecha- nizm kontroli dostępu, jak zapora sieciowa czy router) nie potrafi rozpoznawać kierun- ku transmisji pakietu, wtedy sieć może ulec atakowi wykorzystującemu podszywanie. W tym ataku intruz może inicjować w sieci wewnętrznej transmisje, przy czym transmi- sje te będą interpretowane jako inicjowane przez jeden z węzłów sieci wewnętrznej, a więc transmisje autoryzowane. Tymczasem zwykle rygory reguł bezpieczeństwa dla węzłów sieci wewnętrznej są luźniejsze niż dla węzłów zewnętrznych. Parametry transmisji wychodzących Przesłanką ataku może być również zaobserwowanie pakietu z wewnętrznej sieci LAN, którego adres źródłowy wskazuje na pochodzenie z sieci zewnętrznej (jak na rysunku 4.3). W takim układzie intruz mający dostęp do sieci wewnętrznej stara się ukryć swoje poczynania, próbując zafałszować ich źródło, stwarzając wrażenie, jakoby były one inicjowane z sieci zewnętrznej. W ten sposób odsuwa od siebie podejrzenia, utrudniając ewentualne śledztwo. Rysunek 4.3. Podstawienie adresu źródłowego pakietu z wnętrza sieci Niespodziewane adresy pakietów Przypadek niespodziewanego adresu źródłowego pakietu (albo niespodziewanego nu- meru portu docelowego w przypadku protokołów TCP i UDP) można uznać za prze- słankę ataku. W ramach pierwszego przykładu rozważmy wykrycie pakietu pochodzą- cego z sieci zewnętrznej z niedostępnym adresem IP (jak w przypadku ataku Kevina Mittnicka) albo niedozwolonym adresem IP. Istnieje bowiem w sieci internet klasa adresów nieroutowalnych, na przykład 10.∗.∗.∗, 172.16.0.0 do 172.31.255.255 czy 192.168.∗.∗ (patrz listingi 4.10 i 4.11). Wymienione zakresy adresów opisane są 106 Wykrywanie włamań i aktywna ochrona danych w dokumencie RFC 1918 (Address Allocation for Private Internets — przydział adre- sów dla sieci prywatnych). Poza tą kategorią adresów jest jeszcze zakres adresów, których po prostu nie mogą mieć pakiety przychodzące do danej sieci z zewnątrz. Ad- resy te są bowiem zarezerwowane przez IANA. Wśród adresów zarezerwowanych są 0.0.0.0/8, 1.0.0.0/8, 2.0.0.0/8, 5.0.0.0/8, 7.0.0.0/8, 23.0.0.0/8, 31.0.0.0/8, 36.0.0.0/8, 37.0.0.0/8, 39.0.0.0/8, 41 do 42.0.0.0/8, 58 do 60.0.0.0/8, 67 do 127.0.0.0/8, 219 do 223.0.0.0/8, 240 do 255.0.0.0/8. Listing 4.10. Wykrywanie zastosowania zarezerwowanych adresów IP (fragment pliku dziennika programu TCPdump)  5  YKP (  5  YKP ( Listing 4.11. Wykrywanie zastosowania zarezerwowanych adresów IP (fragment pliku dziennika routera Cisco) /C[76 5 +2# 55.1)2NKUVFGPKGFVER     RCEMGV /C[76 5 +2# 55.1)2NKUVFGPKGFVER     RCEMGVU /C[76 5 +2# 55.1)2NKUVFGPKGFVER     RCEMGV /C[76 5 +2# 55.1)2NKUVFGPKGFVER     RCEMGVU Kolejny przykład to atak Land, w ramach którego adres oraz port źródłowy są usta- wiane identycznie jak adres i port docelowy (patrz listing 4.12). Przetwarzanie takie- go pakietu wprowadza węzeł w nieskończoną pętlę. Listing 4.12. Atak Land (fragment pliku dziennika programu TCPdump)  5  5  5 Następny przykład podejrzanego połączenia to połączenie Telnet inicjowane z zupeł- nie nieznanego węzła albo z węzła znanego, ale niepozostającego z adresatem transmisji w związku zaufania. Kolejny klasyczny przykład to niedopasowanie adresów MAC i IP. W ramach ostatniego przykładu przytoczmy atak o nazwie Setiri Trojan, omawiany na konferencji Def Con 10. Ów koń trojański, wykorzystujący lukę w przeglądarce Internet Explorer, nie jest wykrywany przez zapory sieciowe i nie może być przez nie zablokowany. Wykrycie tego konia trojańskiego jest o tyle utrudnione, że nie inicjuje on połączenia internetowego, jak wię
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Wykrywanie włamań i aktywna ochrona danych
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: