Darmowy fragment publikacji:
Monitoring
i bezpieczeñstwo sieci
Autor: Chris Fry, Martin Nystrom
T³umaczenie: Wojciech Moch
ISBN: 978-83-246-2552-9
Tytu³ orygina³u: Security Monitoring
Format: 168×237, stron: 224
Poznaj najskuteczniejsze metody obrony sieci korporacyjnych
(cid:129) Jak stworzyæ profesjonalny system kontroli zabezpieczeñ?
(cid:129) Jak utrzymaæ solidne Ÿród³a danych?
(cid:129) Jak okreœliæ rodzaje zdarzeñ niezbêdne do wykrywania naruszeñ regu³?
Wszêdobylskoœæ i niesamowite mo¿liwoœci wspó³czesnych z³oœliwych programów
sprawiaj¹, ¿e nikt dziœ nie mo¿e polegaæ wy³¹cznie na oprogramowaniu antywirusowym
– nawet jeœli jest ono wci¹¿ aktualizowane. Z powodu ci¹gle zmieniaj¹cego siê zagro¿enia
dla systemu informatycznego organizacji niezbêdne sta³o siê aktywne monitorowanie
sieci. Autorzy tej ksi¹¿ki proponuj¹ Ci taki w³aœnie nowoczesny, skuteczny system
zabezpieczeñ. Jeœli spróbujesz wdro¿yæ u siebie kilka z ich zaleceñ, w znacznym
stopniu podniesiesz bezpieczeñstwo sieci korporacyjnej. Jeœli natomiast zrealizujesz
wszystkie zalecenia, masz szansê stworzyæ jeden z najlepszych na œwiecie systemów
monitoruj¹cych! Zatem do dzie³a!
Ksi¹¿ka „Monitoring i bezpieczeñstwo sieci” zawiera zestaw wyj¹tkowych metod,
s³u¿¹cych do wykrywania incydentów w sieciach globalnych. Autorzy – eksperci do
spraw bezpieczeñstwa – najpierw podaj¹ elementy niezbêdne do prowadzenia
skutecznego monitorowania sieci, a nastêpnie pokazuj¹, jak stworzyæ ukierunkowane
strategie oraz wdro¿yæ pragmatyczne techniki ochrony. Z tego podrêcznika dowiesz siê,
w jaki sposób definiowaæ regu³y dotycz¹ce bezpieczeñstwa, regulacji i kryteriów
monitorowania. Nauczysz siê zbieraæ informacje o infrastrukturze poddawanej obserwacji,
wybieraæ cele i Ÿród³a monitorowania. Dziêki temu samodzielnie stworzysz niezawodny
system kontroli zabezpieczeñ!
(cid:129) Implementowanie regu³ monitorowania
(cid:129) Rodzaje regu³
(cid:129) Taksonomia sieci
(cid:129) Wybieranie celów monitorowania
(cid:129) Wybieranie Ÿróde³ zdarzeñ
(cid:129) Automatyczne monitorowanie systemów
(cid:129) Telemetria sieci
(cid:129) Zarz¹dzanie adresami IP
Zabezpiecz sieæ – wykorzystaj najskuteczniejsze,
nowoczesne metody monitorowania systemów informatycznych!
�Spis treļci
Wstýp .............................................................................................................................5
1. Zaczynamy ....................................................................................................................11
13
14
16
18
18
18
19
19
19
Szybko zmieniajñcy siö ksztaät zagroĔeþ
Po co monitorowaè?
Wyzwanie monitoringu
Zlecanie monitorowania zabezpieczeþ
Monitorowanie w celu minimalizacji ryzyka
Monitorowanie sterowane reguäami
Czy to zadziaäa w moim przypadku?
Produkty komercyjne a produkty o otwartych Ēródäach
Firma Blanco Wireless
2.
Implementowanie reguĥ monitorowania ................................................................... 21
23
Monitorowanie czarnej listy
25
Monitorowanie anomalii
Monitorowanie reguä
26
27
Monitorowanie z wykorzystaniem zdefiniowanych reguä
28
Rodzaje reguä
37
Reguäy dla firmy Blanco Wireless
Wnioski
40
3. Poznaj swojé sieë ......................................................................................................... 41
41
47
63
65
Taksonomia sieci
Telemetria sieci
Sieè firmy Blanco Wireless
Wnioski
4. Wybieranie celów monitorowania .............................................................................67
68
81
Metody wybierania celów
Praktyczne porady przy wybieraniu celów
3
�Zalecane cele monitorowania
Wybieranie komponentów w ramach celów monitorowania
Blanco Wireless: Wybieranie celów monitorowania
Wnioski
82
83
86
88
5. Wybieranie Śródeĥ zdarzeħ .........................................................................................89
89
102
103
Zadanie Ēródäa danych
Wybieranie Ēródeä zdarzeþ dla firmy Blanco Wireless
Wnioski
6. Dostosowywanie ....................................................................................................... 105
105
111
124
141
145
148
Sieciowe systemy wykrywania wäamaþ
WdraĔanie systemu NIDS
Protokoäy systemowe
NetFlow
đródäa alarmów bezpieczeþstwa w firmie Blanco Wireless
Wnioski
7. Utrzymywanie niezawodnych Śródeĥ danych .......................................................... 149
150
155
165
169
173
180
Utrzymywanie konfiguracji urzñdzeþ
Monitorowanie monitorujñcych
Monitorowanie baz danych
Automatyczne monitorowanie systemów
Monitorowanie systemów w firmie Blanco Wireless
Wnioski
8. Konkluzja: nie traë kontaktu z rzeczywistoļcié ........................................................181
182
188
194
195
201
Co moĔe siö nie udaè?
Studium przypadków
OpowieĈci zespoäów CSIRT
Wymagania minimalne
Wnioski
A Szczegóĥowa konfiguracja narzýdzi OSU flow-tools ..............................................203
203
205
Konfigurowanie serwera
Konfigurowanie eksportu danych NetFlow na routerze
B Szablon umowy o ļwiadczenie usĥug .......................................................................207
207
Umowa o Ĉwiadczenie usäug: dziaä sieci i dziaä bezpieczeþstwa
C Obliczanie dostýpnoļci ..............................................................................................211
Skorowidz .................................................................................................................. 215
4
_
Spis treļci
�ROZDZIAĤ 1.
Zaczynamy
Byä styczeþ 2003 roku. Praca na stanowisku inĔyniera sieci obsäugujñcego sieci centrów da-
nych w Cisco nie mogäa byè lepsza. 21 stycznia mój zespóä Ĉwiötowaä wyäñczenie przez wice-
prezesa ostatniej centrali typu Avaya PBX, dziöki czemu poäñczenia telefoniczne kampusu
Research Triangle Park (TRP) byäy w 100 procentach obsäugiwane w technologii VoIP. Wäa-
Ĉnie zakoþczyliĈmy unowoczeĈnianie okablowania i sprzötu sieci WAN i mieliĈmy nadziejö
na zwiökszenie dostöpnoĈci naszych zdalnych centrów. Niestety 25 stycznia (to byäa sobota)
robak SQL Slammer poczyniä spustoszenie w sieciach caäego Ĉwiata. Robak ten, znany równieĔ
pod nazwñ Sapphire, atakowaä niezabezpieczone serwery MS-SQL, wykorzystujñc do tego
zäoĈliwy i samorozprzestrzeniajñcy siö kod. SpecjaliĈci od zabezpieczeþ z pewnoĈciñ doskonale
pamiötajñ ten dzieþ. Technika rozprzestrzeniania siö robaka mogäa tworzyè efekt podobny do
ataku odmowy dostöpu do usäug (ang. denial-of-service — DoS), co powodowaäo wyäñczanie
kolejnych sieci.
Jedynñ cechñ odróĔniajñcñ tego robaka od normalnej komunikacji z serwerem SQL byäa duĔa
liczba pakietów UDP o wielkoĈci 376 bajtów kierowanych na port 14341.
Dostawcy usäug internetowych zaczöli blokowaè ruch sieciowy za pomocñ filtrów wejĈcia-wyj-
Ĉcia, ale byäo juĔ za póĒno, Ĕeby uchroniè swoje systemy przed infekcjñ. Chodziäo tu raczej
o zabezpieczenie podstawowych struktur internetu.
Robak Sapphire byä najszybciej rozprzestrzeniajñcym siö robakiem w historii. Od momentu roz-
poczöcia dziaäania w internecie podwajaä swój rozmiar co 8,5 sekundy. W ciñgu 10 minut zainfe-
kowaä ponad 90 procent komputerów podatnych na jego atak2.
SzybkoĈè replikacji robaka i liczba zainfekowanych systemów oraz sieci korporacyjnych szyb-
ko spowodowaäa zapeänienie linii komunikacyjnych kolejnymi próbami infekcji systemów.
Administratorzy sieci obsäugujñcy äñcza WAN w USA dowiedzieli siö o problemie dopiero
wtedy, gdy ich pagery zaczöäy bäyskaè jak lampki boĔonarodzeniowe, przekazujñc alarmy
o zwiökszonym obciñĔeniu sieci. Na zakoþczenie otrzymywali tylko informacjö protokoäu
SNMP — äñcze wyäñczone (ang. link down). Poczñtkowo sñdziliĈmy, Ĕe problem zwiñzany jest
z kartñ sieciowñ D3, którñ niedawno wymieniliĈmy w jednym z naszych routerów. Jednak
w momencie gdy ten sam problem zaczöäy zgäaszaè äñcza innych biur regionalnych, zorien-
towaliĈmy siö, Ĕe jest to coĈ znacznie powaĔniejszego.
1 http://www.cert.org/advisories/CA-2003-04.html
2 http://www.caida.org/publications/papers/2003/sapphire/sapphire.html
11
�DoĈwiadczaliĈmy juĔ problemów z sieciñ powodowanych przez infekcje wirusami, takimi jak
Code Red (atakowaä on podane serwery WWW Microsoft IIS), ale Ĕaden z nich nie spowo-
dowaä nawet czöĈci chaosu, jaki wywoäaä Slammer. Kilka zaraĔonych nim komputerów byäo
w stanie wygenerowaè ruch sieciowy zdolny przeciñĔyè äñcza sieci WAN i doprowadziè do
powaĔnych problemów z äñcznoĈciñ z oddziaäami na caäym Ĉwiecie. Ostatecznie udaäo siö
stwierdziè, Ĕe wiökszoĈè zaraĔonych systemów to nieaktualizowane serwery laboratoryjne.
Ich identyfikowanie i migrowanie byäo naprawdö zäoĔonym zadaniem:
x WdroĔonych zostaäo zbyt maäo systemów wykrywania wäamaþ do sieci (ang. network
intrusion detection systems — NIDS), a na dodatek nikt nie byä odpowiedzialny za przeglñ-
danie i reagowanie na alarmy zgäaszane przez zainfekowane systemy.
x Systemy telemetrii sieciowej (takie jak NetFlow) i wykrywania anomalii nie byäy wystar-
czajñce, aby zidentyfikowaè zainfekowane systemy.
x Nie byäo moĔliwoĈci ustalania priorytetów zgäoszeþ. MieliĈmy do dyspozycji tylko adre-
sy IP i nazwy DNS zainfekowanych komputerów. Niestety zabrakäo informacji kontek-
stowych, takich jak „serwer obsäugi danych”, „komputer uĔytkownika w sieci LAN” albo
„serwer laboratoryjny”.
W ciñgu kolejnych 48 godzin zespoäy specjalistów od sieci identyfikowaäy zainfekowane sys-
temy, korzystajñc z powolnego procesu polegajñcego na rozsyäaniu zalecanych list kontroli
dostöpu (ang. access control list — ACL) do wszystkich routerów WAN3, które miaäy blokowaè
pakiety. Wszystkie trafienia zasady kontroli dostöpu (ang. access control entry — ACE) bloku-
jñcej pakiety UDP na porcie 1434 oznaczaäy zainfekowany komputer. Nie mogliĈmy jednak
zidentyfikowaè adresów IP komputerów tworzñcych takie trafienia, poniewaĔ dodanie opcji
„log” do tej reguäy powodowaäo lawinowy wzrost wykorzystania procesorów w routerach
i drastycznie zmniejszaäo wydajnoĈè pracy sieci. Kolejny krok polegaä na analizowaniu wy-
korzystania portów na przeäñcznikach sieciowych i wyszukiwaniu w ten sposób zainfekowa-
nych komputerów, a nastöpnie blokowaniu im feralnego portu. Ten proces wymagaä sporej
liczby ludzi i oczywiĈcie czasu.
JeĔeli zaimplementowalibyĈmy choè kilka zabezpieczeþ omawianych w niniejszej ksiñĔce, na-
sze zespoäy techników mogäyby znacznie szybciej ograniczyè moĔliwoĈci dziaäania robaka.
WäaĈciwe wdroĔenie systemów NIDS pozwoliäoby na natychmiastowe uzyskanie adresów IP
zainfekowanych systemów i odpowiedniñ ich segregacjö w zaleĔnoĈci od przynaleĔnoĈci do
poszczególnych sieci (serwery centrów danych, serwery laboratoryjne, komputery biurkowe
— bödziemy o tym mówiè w rozdziale 6.). Jeszcze przed wykorzystaniem sygnatur systemów
NIDS moglibyĈmy uĔyè systemu NetFlow, aby wykryè zainfekowane komputery za pomocñ
wykrywanych wzorców ruchu sieciowego, o których bödziemy mówiè w rozdziale 3. Na pod-
stawie tych informacji moĔna przygotowaè dobrze zaplanowanñ, prioretyzowanñ odpowiedĒ
na zagroĔenie, a na zainfekowane systemy moĔna by naäoĔyè odpowiednie ograniczenia. Sa-
ma informacja o adresach IP z systemu NetFlow pozwoliäaby ma szybkñ, manualnñ inspekcjö
tablic ARP i powiñzaþ adresów MAC z adresami IP w routerach. Dziöki tym informacjom
administratorzy mogliby szybko wyäñczyè odpowiednie porty w przeäñcznikach sieciowych
i zablokowaè moĔliwoĈci rozprzestrzeniania siö robaka.
W tej ksiñĔce opisujemy infrastrukturö oraz narzödzia, które bardzo pomogäyby nam kilka
miesiöcy póĒniej, gdy zaatakowaä robak Nachi. Niestety nie byliĈmy w stanie tego przewidzieè
i Nachi spowodowaä te same zniszczenia i byä ograniczany w tym samym manualnym proce-
sie co robak Slammer.
3 http://www.cisco.com/warp/public/707/cisco-sn-20030125-worm.shtml
12
_
Rozdziaĥ 1. Zaczynamy
�Szybko zmieniajécy siý ksztaĥt zagroŜeħ
Chyba kaĔdy säyszaä juĔ, Ĕe „dawno minöäy dni, gdy nastolatki i script kiddies siali zamöt tyl-
ko po to, Ĕeby siö pokazaè”. W koþcu lat 90. i na poczñtku XXI wieku moĔna byäo zauwaĔyè
ogromny wzrost liczby ataków tylu DoS. Szkodliwe oprogramowanie (ang. malware) bödñce
gäównñ siäñ napödowñ tych ataków rozwinöäo siö z prostych programów atakujñcych poje-
dynczñ lukö w wielkie i zäoĔone systemy wykorzystujñce wiele luk w systemie operacyjnym
i róĔnych aplikacjach.
Przyjrzyjmy siö opisowi metody infekcji stosowanej przez robaka Nachi (z 2003 roku):
Ten robak rozprzestrzenia siö, wykorzystujñc luki w systemie Microsoft Windows (MS03-026).
Atakowane sñ równieĔ serwery WWW (IIS 5) podatne na atak MS03-007 na porcie 80 poprzez
usäugö WebDev4.
A oto informacje na temat bardzo popularnego wirusa o nazwie SDBot z 2006 roku:
Robak rozprzestrzenia siö za poĈrednictwem udostöpnionych i säabo zabezpieczonych udziaäów
sieciowych, a niektóre wersje próbujñ wykorzystaè podane niĔej luki w róĔnych systemach:
Wykorzystuje lukö w usäudze WebDav (MS03-007).
Wykorzystuje lukö w LSAAS (MS04-011).
Wykorzystuje lukö w ASN.1 (MS04-007).
Wykorzystuje lukö w usäugach Workstation Service (MS03-049).
Wykorzystuje lukö w PNP (MS05-039).
Wykorzystuje lukö w obsäudze nazwy uĔytkownika przy logowaniu do usäugi IMAPD.
Wykorzystuje lukö w systemie autoryzacji HTTP w systemie Cisco IOS.
Wykorzystuje lukö w usäugach serwerowych (MS06-040).
Próbuje siö rozprzestrzeniaè za pomocñ domyĈlnych udziaäów administracyjnych, takich jak:
PRINT$
E$
D$
C$
ADMIN$
IPC$
Niektóre warianty wirusa wyposaĔone sñ teĔ w listy säabych kombinacji nazwy uĔytkownika i ha-
säa, która pozwala na dostöp do tych udziaäów.
Wykorzystuje säabe hasäa i konfiguracje.
Niektóre wersje próbujñ dostaè siö do serwerów MS SQL za pomocñ säabych haseä administracyj-
nych. W przypadku powodzenia wirus moĔe wykonaè zdalnie polecenia systemowe za poĈred-
nictwem serwera SQL5.
Ta bardziej zaawansowana forma zäoĈliwego oprogramowania zawiera komponenty pozwa-
lajñce jej na kontynuowanie dziaäania po ponownym uruchomieniu komputera, a nawet ukry-
wanie siö przed programami antywirusowymi. Co wiöcej, zastosowano w nim techniki za-
ciemniania kodu utrudniajñce analizö przechwyconego wirusa! Wiele tego typu programów
zawiera teĔ komponenty pozwalajñce na kradzieĔ informacji z zainfekowanych systemów
4 http://vil.nai.com/vil/content/v_100559.htm
5 http://vil.nai.com/vil/content/v_139565.htm
Szybko zmieniajécy siý ksztaĥt zagroŜeħ
_
13
�i przekazywanie ich do swojego twórcy za pomocñ skäadnika zdalnej kontroli (tego typu pro-
gramy nazywane sñ botnetem), który umoĔliwia peäne sterowanie zainfekowanym systemem.
Poäñczenie w jednym programie wszystkich tych cech, czyli zdecentralizowanej struktury ste-
rowania (wykorzystanie struktur sieci WWW lub sieci P2P) oraz szyfrowania i polimorfizmu
(dziöki czemu zäoĈliwe oprogramowanie moĔe siö samo modyfikowaè przy przenoszeniu siö
na inny system, co umoĔliwia mu unikanie programów antywirusowych), daje nam odpo-
wiedĒ na pytanie, dlaczego programy antywirusowe tak rzadko radzñ sobie z nowymi rodza-
jami zagroĔeþ.
Sĥabe wyniki programów antywirusowych
Mamy nadziejö, Ĕe nikt juĔ nie polega wyäñcznie na oprogramowaniu antywirusowym jako
Ĉrodku do wykrywania i ochrony systemów uĔytkowników. Peäna strategia zabezpieczenia
musi uwzglödniaè programy antywirusowe, zarzñdzanie aktualizacjami systemu operacyjne-
go i aplikacji, systemy wykrywania wäamaþ do komputerów oraz odpowiednio uksztaätowa-
nñ kontrolö dostöpu (powiedzieliĈmy przecieĔ: „mamy nadziejö” -). JeĔeli ktoĈ nadal korzy-
sta wyäñcznie z oprogramowania antywirusowego, to czekajñ go wielkie rozczarowania. Na
przykäad latem 2008 roku wielu naszych pracowników otrzymaäo doskonale przygotowanñ
wiadomoĈè phishingowñ dotyczñcñ niedostarczenia przesyäki przez firmö UPS:
-----Original Message-----
From: United Parcel Service [mailto:teeq@agbuttonworld.com]
Sent: Tuesday, August 12, 2008 10:55 AM
To: xxxxx@xxxxxxxx.com
Subject: Tracking N_ 6741030653
Unfortunately we were not able to deliver postal package you sent on July the 21st
in time because the recipient s address is not correct.
Please print out the invoice copy attached and collect the package at our office
Your UPS
W zaäñczniku wiadomoĈci znajdowaä siö koþ trojaþski, którego nie wykrywaäo 90 procent spo-
Ĉród 37 dostöpnych nam programów antywirusowych. W tabeli 1.1 przedstawione zostaäy wy-
niki testów przeprowadzonych na kodzie binarnym konia trojaþskiego.
Jak widaè, wszystkie programy antywirusowe wykrywajñce zäoĈliwe oprogramowanie za po-
mocñ „zäych” sygnatur nie byäy w stanie wykryè tego konia trojaþskiego. Tego rodzaju techno-
logia zawodzi przede wszystkim dlatego, Ĕe nawet niewielka zmiana w kodzie wirusa spowo-
duje, iĔ bödzie on niewykrywalny dla istniejñcych sygnatur. OczywiĈcie dostawcy programów
antywirusowych ciñgle poprawiajñ swoje technologie — na przykäad dodajñ wykrywanie
heurystyczne lub behawioralne, ale nadal nie sñ w stanie udostöpniè nam „peänej” ochrony
systemu. Doskonaäym Ēródäem informacji na temat wirusów, ich moĔliwoĈci i powodów tak
skutecznego ukrywania siö jest ksiñĔka Johna Aycock’a Computer Viruses and Malware (wy-
dawnictwo Springer).
PowszechnoĈè i wielkie moĔliwoĈci dzisiejszego zäoĈliwego oprogramowania powinny byè
wystarczajñcym powodem do Ĉcisäego monitorowania swoich sieci komputerowych. JeĔeli
nie jest, to byè moĔe bardziej przekonujñce bödzie to, Ĕe takie programy wykorzystywane sñ
przez organizacje mafijne do szpiegowania, kradzieĔy toĔsamoĈci i wymuszeþ.
Po co monitorowaë?
PrzestöpczoĈè zorganizowana i zagroĔenia wewnötrzne to ciñgle zmieniajñce siö zagroĔenia
dajñce nam solidne podstawy do aktywnego monitorowania zabezpieczeþ sieci.
14
_
Rozdziaĥ 1. Zaczynamy
�Tabela 1.1. Wyniki testów kodu binarnego konia trojaþskiego
Antywirus
AhnLab-V3
AntiVir
Authentium
Avast
AVG
BitDefender
CAT-QuickHeal
ClamAV
DrWeb
eSafe
eTrust-Vet
Ewido
F-Prot
F-Secure
Fortinet
GData
Ikarus
K7AntiVirus
Wynik
–
–
W32/Downldr2.DIFZ
–
–
–
–
–
–
–
–
–
–
–
–
–
Win32.Outbreak.UPSRechnung
–
Antywirus
Kaspersky
McAfee
Microsoft
NOD32v2
Norman
Panda
PCTools
Prevx1
Rising
Sophos
Sunbelt
Symantec
TheHacker
TrendMicro
VBA32
ViRobot
VirusBuster
Webwasher-Gateway
Wynik
–
–
–
–
–
–
–
–
–
–
Trojan-Spy.Win32.Zbot.gen (v)
–
–
–
–
–
–
–
Ĥajdacka ekonomia i przestýpczoļë zorganizowana
Codziennie kradzione sñ niewiarygodne iloĈci pieniödzy. Wystarczajñco wiele, Ĕeby koordyno-
waè caäe grupy przestöpców. Takie nielegalne zwiñzki przyspieszyäy rozwój zaawansowanych
wersji zäoĈliwego oprogramowania (w tym kontekĈcie czösto nazywane jest ono przestöpczym
oprogramowaniem — crimeware). WiökszoĈè organizacji zajmujñcych siö bezpieczeþstwem,
zarówno rzñdowych, jak i prywatnych, nie jest dostatecznie dobrze wyposaĔonych, aby zwal-
czaè te zagroĔenia za pomocñ istniejñcych technologii i procesów.
W 2008 roku badania przeprowadzone przez firmö F-Secure przewidywaäy, Ĕe zäoĈliwe opro-
gramowanie wykorzystywane w celach przestöpczych bödzie rozwijaäo siö gäównie w takich
krajach jak Brazylia, Chiny, byäy Zwiñzek Radziecki, Indie oraz w Afryce i Ameryce ćrodko-
wej. Wynika to z faktu, Ĕe w tych krajach wielu wyksztaäconych specjalistów nie ma moĔliwo-
Ĉci uĔycia swoich umiejötnoĈci w sposób legalny6.
Co prawda wiökszoĈè takich dziaäaþ nie jest skierowana bezpoĈrednio przeciwko korporacjom,
ale widzieliĈmy juĔ przypadki, w których wykorzystywana byäa znajomoĈè nazwisk oraz re-
lacji miödzy czäonkami zespoäów a ich kierownikami, co pozwalaäo na przygotowanie nie-
zwykle wiarygodnych wiadomoĈci phishingowych. Technika ta czösto opisywana jest termi-
nem phishingu wybiórczego (ang. spearphishing).
Z drugiej strony dziaäania podejmowane przez zäoĈliwych pracowników w celu uzyskania
dostöpu do tajnych informacji i danych wäasnoĈci intelektualnej tworzñ sytuacjö opisywanñ
terminem zagroĔenia wewnötrznego (ang. insider threat).
6 http://www.f-secure.com/f-secure/pressroom/news/fsnews_20080117_1_eng.html
Po co monitorowaë?
_
15
�ZagroŜenia wewnýtrzne
Badania prowadzone przez tajne säuĔby Stanów Zjednoczonych oraz zespóä CERT/CC (Com-
puter Emergency Response Team/Coordination Center) potwierdzajñ duĔe znaczenie zagroĔeþ
wewnötrznych. Co prawda nadal dyskutowana jest ich skala, jednak szacuje siö, Ĕe 40 do 70
procent wszystkich naruszeþ bezpieczeþstwa zwiñzanych jest z zagroĔeniem wewnötrznym.
Tak wielka skala problemu, szczególnie w zwiñzku z bezpoĈrednim dostöpem do danych
i wiedzñ na ich temat, musi skäaniaè firmy do Ĉcisäego monitorowania dziaäaþ swoich pracow-
ników. Kilka säynnych przykäadów powinno skäoniè kaĔdego do powaĔnego potraktowania
zagroĔeþ wewnötrznych w firmie7:
Horizon Blue Cross Blue Shield
W styczniu 2008 roku ponad 300 000 nazwisk i numerów ubezpieczenia spoäecznego zo-
staäo skradzionych razem z laptopem, na którym byäy przechowywane. Pracownik na co
dzieþ pracujñcy z danymi klientów zabieraä ten komputer do domu.
Hannaford Bros. Co.
W maju 2008 roku wyciekäy numery 4,2 miliona kart kredytowych i debetowych. Mniej wiö-
cej 1800 przypadków defraudacji zostaäo powiñzanych z tym wäaĈnie wyciekiem danych.
Okazaäo siö, Ĕe numery kart byäy przechwytywane w trakcie przetwarzania transakcji.
Compass Bank
W marcu 2008 roku dokonano wäamania do bazy danych zawierajñcej nazwiska, numery
kont i hasäa uĔytkowników. Byäy pracownik banku skradä dysk twardy zawierajñcy milion
danych klientów i wykorzystaä je do defraudacji. UĔywaä kodera kart kredytowych oraz
czystych kart, aby tworzyè nowe karty i pobieraè pieniñdze z kont wielu klientów banku.
Countrywide Financial Corp.
W sierpniu 2008 roku FBI aresztowaäo byäego pracownika firmy za kradzieĔ informacji
osobistych, w tym numerów ubezpieczenia spoäecznego. Pracownik ten byä starszym ana-
litykiem finansowym w dziale poĔyczek subprime. Przypuszczalny inicjator tej kradzieĔy
co tydzieþ sprzedawaä dane kont w grupach po 20 000 za 500$.
Nie wszystkie z wymienionych przypadków byäy z natury zäoĈliwe, ale wszystkie swój po-
czñtek miaäy od naruszenia zasad bezpieczeþstwa. W rozdziaäach 2. i 6. prezentowaè bödzie-
my narzödzia pozwalajñce na wykrywanie zäoĈliwego oprogramowania i zagroĔeþ wewnötrz-
nych. W rozdziaäach 4. i 5. omówimy metody prioretyzowania ograniczonych zasobów do
monitorowania i wybierania danych zdarzeþ pozwalajñcych na uzyskanie najlepszych efek-
tów przy ograniczonych kosztach.
Wyzwanie monitoringu
SpecjaliĈci od zabezpieczeþ tworzñcy mechanizmy monitorowania muszñ zmierzyè siö rów-
nieĔ z ograniczeniami stosowanych produktów, rzeczywistoĈciñ monitorowania operacyjne-
go, iloĈciami generowanych zdarzeþ oraz koniecznoĈciñ ochrony prywatnoĈci pracowników.
Obietnice producentów
„Po prostu podäñcz, a my zajmiemy siö resztñ”! Taka prostota konfigurowania systemu SIM
(Security Information Manager — zarzñdzania informacjami o zabezpieczeniach) firmy XYZ, aby
7 đródäo: http://www.privacyrights.org/ar/ChronDataBreaches.htm#2008
16
_
Rozdziaĥ 1. Zaczynamy
�„automagicznie” obsäugiwaä naruszenia bezpieczeþstwa, sprawdza siö tylko w przypadku nie-
wielkich i dobrze prowadzonych Ĉrodowisk. Niestety z naszych rozmów z klientami wnio-
skujemy, Ĕe takie utopijne Ĉrodowiska sñ niezwykle rzadkie. Monitorowanie bezpieczeþstwa
w niczym nie przypomina konfiguracji magnetowidu. Nie moĔna go „nastawiè i zapomnieè”.
Technologie zabezpieczajñce nie sñ w stanie wytworzyè informacji kontekstowych, niezböd-
nych do przygotowania priorytetów i wyznaczenia najwaĔniejszych punktów do monitoro-
wania. KaĔde Ĉrodowisko jest unikalne, ale metody omawiane w rozdziale 3. pozwalajñ na
wbudowanie takich istotnych informacji kontekstowych do narzödzi zabezpieczajñcych. To
jednak nie wszystko!
Rzeczywistoļë
„Wäñcz kontrolö wszystkich tabel bazy danych”. Dziaäania na bazach danych w rozbudowanym
Ĉrodowisku korporacyjnym sñ kluczowym elementem stanowiñcym o wydajnoĈci i stabilno-
Ĉci, dlatego to zalecenie zmusiäo nas do przemyĈleþ. Jaki bödzie to miaäo wpäyw na wydaj-
noĈè? Jakie wprowadzi ryzyko dla dziaäalnoĈci firmy, kontroli zmian, stabilnoĈci i dostöpnoĈci
sieci? ZaczöliĈmy rozmawiaè na ten temat z administratorem baz danych za poĈrednictwem
poczty e-mail. Przestaä odpowiadaè na nasze wiadomoĈci po tym, gdy wspomnieliĈmy o za-
leceniu „wäñczenia kontroli wszystkich tabel bazy danych”! RzeczywiĈcie, tak intensywna
kontrola bazy danych w kaĔdym Ĉrodowisku (z wyjñtkiem tych najrzadziej uĔywanych) spo-
wodowaäaby zmniejszenie wydajnoĈci systemu do nieakceptowanego poziomu. Zalecenia,
które podajemy w tej ksiñĔce, zostaäy przetestowane i sprawdzone w trakcie naszych wäasnych
doĈwiadczeþ, zdobytych przez nas podczas obsäugi niejednej infrastruktury korporacyjnej. Nie
bödziemy zalecali stosowania metod, które mogñ negatywnie wpäynñè na dostöpnoĈè syste-
mów, a przez to pogorszyè relacje z innymi pracownikami.
Iloļci danych
W kontekĈcie monitorowania sieci przy duĔych iloĈciach protokoäowanych danych szybko
mogñ siö one zmieniè z bardzo waĔnego zbioru informacji w caäkowicie nieprzejrzyste bagno.
Nieprawidäowo przygotowany system NIDS lub demon syslog moĔe generowaè zbyt wiele
komunikatów, które zacznñ zalewaè systemy zbierania informacji. Nawet jeĔeli systemy te
bödñ w stanie przyjñè taki zalew komunikatów, to sama ich iloĈè bödzie przytäaczajñca dla
zespoäu monitorujñcego, który moĔe zaczñè ignorowaè to Ēródäo informacji. W rozdziaäach 5.
i 6. przedstawimy wskazówki pozwalajñce na zachowanie rozsñdnej liczby komunikatów na-
wet w najbardziej rozbudowanych Ĉrodowiskach.
Prywatnoļë
Nie moĔna teĔ zapomnieè o koniecznoĈci zachowania zgodnoĈci z lokalnym prawodawstwem
dotyczñcym ochrony danych osobowych, tym bardziej Ĕe mogñ siö one róĔniè w poszczegól-
nych krajach. Najlepszñ radñ, jakiej moĔemy tu udzieliè, jest staäe informowanie dziaäu perso-
nalnego i prawnego o prowadzonych dziaäaniach monitorowania sieci oraz formalne doku-
mentowanie zezwoleþ udzielanych przez te dziaäy. Jest to najczöĈciej realizowane w postaci
firmowej deklaracji o monitorowaniu, która powinna staè siö czöĈciñ zasad dozwolonego uĔy-
cia w danej firmie.
Wyzwanie monitoringu
_
17
�Zlecanie monitorowania zabezpieczeħ
W wielu firmach bezpieczeþstwo jest tylko kolejnym punktem w dokumencie kontrolnym.
„Pracownicy… jest! Obsäuga IT… jest! Zabezpieczenia… jest!” itd.
JeĔeli Czytelnik juĔ zdñĔyä caäkowicie zleciè monitorowanie bezpieczeþstwa swojej sieci ze-
wnötrznej firmie, to moĔe przestaè czytaè tö ksiñĔkö i sprzedaè jñ na internetowej aukcji. Opra-
wa jest zapewne jeszcze nienaruszona, wiöc moĔna opisaè jñ „jak nowa”. Z naszego doĈwiad-
czenia wynika (i potwierdzajñ to rozmowy z naszymi klientami), Ĕe niezwykle trudno jest
znaleĒè firmö zabezpieczajñcñ, która naprawdö staraäaby siö poznaè sieè i kontekst bezpieczeþ-
stwa swoich klientów. Takie firmy najczöĈciej ograniczajñ siö do obsäugi najprostszych proble-
mów z zabezpieczeniami. Proszö przyjrzeè siö nastöpujñcej propozycji: chcemy dowiedzieè
siö, kiedy ktoĈ zacznie kopiowaè dane klientów z bazy danych na lokalny komputer. Jak moĔe
nam to zapewniè zewnötrzna firma? A moĔe lepiej: jak wysokñ fakturö wystawi za takñ usäu-
gö? Usäugi oferowane przez wiökszoĈè dostawców ograniczajñ siö do skäadania regularnych
raportów wybranych alarmów systemów NIDS (tych samych alarmów dla kaĔdego klienta)
oraz zwiñzanych z nimi adresów IP. Naszym zdaniem jest to zdecydowanie niewystarczajñce.
Monitorowanie w celu minimalizacji ryzyka
Oto kilka säów, które kaĔdego specjalistö od bezpieczeþstwa przyprawiajñ o dreszcze: B2B,
partner, outsourcing, extranet. Czasami, z powodów ĈciĈle biznesowych, kierownictwo musi
zaakceptowaè wyĔszy poziom ryzyka, takiego jak podäñczenie sieci partnera jeszcze przed
dokonaniem peänej oceny bezpieczeþstwa tej sieci. Niestety najczöĈciej takie decyzje podejmo-
wane sñ przez osoby nieposiadajñce wystarczajñcych uprawnieþ do zwiökszania ryzyka bez-
pieczeþstwa danych. Tego rodzaju decyzje wpäywajñ na caäñ korporacjö, a czösto dokonywane
sñ na podstawie niewäaĈciwych lub niepeänych informacji. W efekcie osoby odpowiedzialne
za bezpieczeþstwo danych popadajñ we frustracjö i po prostu liczñ na szczöĈcie. Taka caäkowita
kapitulacja nie jest na szczöĈcie konieczna. JeĔeli bödziemy postöpowaè zgodnie z wytyczny-
mi podawanymi w niniejszej ksiñĔce, to bödziemy w stanie dopasowaè strategiö monitoro-
wania do takich wyjñtkowych sytuacji biznesowych, minimalizujñc, a moĔe nawet caäkowicie
usuwajñc dodatkowe ryzyko. Od osób decydujñcych o podjöciu ryzykownych dziaäaþ naleĔy
domagaè siö specjalnych nakäadów na monitorowanie, mówiñc: „JeĔeli chcecie rozpoczñè ten
ryzykowny projekt, to bödziecie musieli äoĔyè na dodatkowe funkcje monitorowania sprzötu
i personelu”.
Monitorowanie sterowane reguĥami
Chcemy tutaj zróĔnicowaè narzödzia do monitorowania sterowanego reguäami (czasami na-
zywane sñ monitoringiem ukierunkowanym — ang. targeted monitoring) od monitorowania zäo-
Ĉliwego oprogramowania, wykrywania wäamaþ, wykrywania wäamaþ wewnötrznych (ang.
extrusion detection) oraz popularnych narzödzi do monitorowania. Monitorowanie sterowane
reguäami realizowane jest przez wyliczanie i wybieranie najwaĔniejszych systemów, wykry-
wanie naruszeþ poszczególnych zasad za pomocñ protokoäów zdarzeþ. Wymaga ono analizy
wygenerowanych zdarzeþ i porównania ich z zasadami bezpieczeþstwa obowiñzujñcymi
w danym kontekĈcie Ĉrodowiska. Opisywane tutaj metody uäatwiajñ przeniesienie wysiäków
systemów monitorujñcych na systemy najistotniejsze dla firmy i zdefiniowanie alarmów zwiñ-
zanych z reguäami bezpieczeþstwa obowiñzujñcymi te systemy.
18
_
Rozdziaĥ 1. Zaczynamy
�Czy to zadziaĥa w moim przypadku?
Na podstawie doĈwiadczeþ zebranych przy pracy z jednñ z najbardziej zäoĔonych i zmienia-
nych sieci korporacyjnych Ĉwiata jesteĈmy przekonani, Ĕe prezentowane tutaj narzödzia oraz
metody sñ skuteczne i bezpieczne. Obaj zajmowaliĈmy siö obsäugñ najistotniejszych systemów,
których dostöpnoĈè bezpoĈrednio wpäywaäa na zyski korporacji i produktywnoĈè pracowni-
ków (a przez to i na nasze kariery). Niniejszy poradnik jest wynikiem iteracyjnych usprawnieþ
i powinien znaleĒè zastosowanie przy wszystkich uĔywanych przez Czytelnika technologiach
zabezpieczajñcych. Chodzi o to, Ĕeby implementujñc zaledwie kilka zaleceþ podawanych w tej
ksiñĔce, moĔna byäo mocno podnieĈè swoje moĔliwoĈci monitorowania sieci i reagowania na
zagroĔenia. Zaimplementowanie wszystkich zaleceþ pozwoli utworzyè jeden z najlepszych
na Ĉwiecie systemów monitorujñcych.
Produkty komercyjne a produkty o otwartych Śródĥach
Obaj jesteĈmy pracownikami firmy Cisco Systems i korzystamy z jej produktów zabezpiecza-
jñcych. Prezentujemy tutaj porady wynikajñce z naszego doĈwiadczenia, dlatego w ksiñĔce
znajdzie siö wiele odniesieþ do produktów firmy Cisco. UĔywamy jednak narzödzi o otwar-
tych Ēródäach, jeĔeli tylko speäniajñ one nasze wymagania, a jeĔeli sprawdzajñ siö w pracy,
to z caäego serca zalecamy ich stosowanie. Produkty o otwartych Ēródäach prezentowane sñ
w ksiñĔce Richarda Bejtlicha The Tao of Network Security Monitoring (Addison-Wesley Profes-
sional), w której opisywane sñ metody zastosowania takich narzödzi monitorujñcych jak Snort,
Bro, Argus, Sguil i wielu innych. Jest to idealna pozycja dla osób, które dopiero tworzñ swojñ
infrastrukturö monitorowania lub szukajñ moĔliwoĈci rozbudowy juĔ istniejñcej. W tej ksiñĔ-
ce staramy siö pomóc Czytelnikowi jak najlepiej wykorzystaè swoje narzödzia monitorujñce,
niezaleĔnie od tego, jakich uĔywa.
Firma Blanco Wireless
W celu lepszego zilustrowania naszych zaleceþ bödziemy prezentowaè ich implementacjö
w ramach fikcyjnej firmy o nazwie Blanco Wireless. Jest to dostawca usäug telefonii komórko-
wej dziaäajñcy na terenie USA. W ramach zarzñdzania kontami Blanco Wireless zbiera i prze-
chowuje informacje osobowe swoich klientów, takie jak nazwiska, adresy, numery telefonów,
numery ubezpieczenia spoäecznego, ocenö kredytowñ oraz wiele innych szczegóäowych da-
nych. Na zakoþczenie kaĔdego rozdziaäu omówimy sposób, w jaki firma Blanco Wireless im-
plementuje narzödzia i metody omawiane w danym rozdziale. WĈród podawanych przykäa-
dów znajdñ siö diagramy oraz wyjaĈnienia, jak nasza fikcyjna firma wykorzystaäa podawane
w tym rozdziale zalecenia, aby poprawiè swoje monitorowanie zabezpieczeþ.
Firma Blanco Wireless
_
19
�
Pobierz darmowy fragment (pdf)
