Efektivní detekce útoku není žádná hračka

Tento týden jsem nakonfiguroval síťové senzory v našem systému detekce napadení (IDS Intrusion Detection System). Koupi...


Tento týden jsem nakonfiguroval síťové senzory v našem systému detekce napadení
(IDS Intrusion Detection System). Koupili jsme software RealSecure od Internet
Security Systems. Tento produkt znám a vzhledem k omezeným prostředkům, kterými
pro své oddělení a pro řídicí středisko sítě (NOC Network Operations Center)
disponuji, se RealSecure jevil jako nejlepší volba. Hlavním úkolem je nastavit
IDS tak, aby jej v oddělení bezpečnosti mohli spravovat dva lidé. Mezi nejlepší
vlastnosti RealSecure patří ovládání typu point--and-click podobné operacím v
prostředí Windows a funkce X-express zajišťující automatický update. Neustále
se objevují nové možnosti napadení, proto je nutné do infrastruktury IDS zavést
data potřebná pro jejich identifikaci. Kdybych žil v ideálním světě, měl bych
tým zkušených odborníků na problematiku bezpečnosti, kteří by tato data
vytvářeli nebo získávali a starali se o to, aby měl každý síťový senzor po
updatu správnou konfiguraci. Ale žijeme ve světě reálném. RealSecure nabízí
funkci pro automatický update, která automaticky načte a nainstaluje nové verze
identifikačních příznaků napadení do hlavní konzole. Pak už jde jen o to,
zavést tyto příznaky z hlavní konzole do jednotlivých ovladačů IDS.

Klíčem je jednoduchost
Je to velmi jednoduchá operace a v mém případě je jednoduchost klíčem k
úspěchu. Mám před sebou plně naložený talíř problémů: musím se starat o analýzu
slabých míst, o správu identifikačních tokenů (SecurID token), o antivirová
opatření, o budování virtuální firemní sítě, o firewall, o audity spolehlivosti
Webu, o školení, o problémy nevhodného využití, o bezpečnostní pokyny pro práci
v síti, o fyzickou bezpečnost i o řadu dalších věcí. Nemohu si proto rozhodně
dovolit IDS vyžadující vysokou úroveň řízení pokud mám v oddělení kromě sebe
jen jednoho dalšího člověka na celou oblast bezpečnosti.
Naše interní síť jako většina sítí v dnešní době je postavena na přepínaném
Ethernetu, což pro IDS představuje problém. Za starých časů, než vzrostla
popularita ethernetových přepínačů, jste svůj senzor IDS mohli jednoduše
připojit do volného portu hubu. Po konfiguraci síťové karty v režimu bez výběru
jste mohli "vyslídit" či "zahodit" všechny pakety určené pro jiné počítače nebo
pocházející z jiných počítačů připojených k hubu. A to je přesně to, co
potřebujete.
V přepínaném prostředí to ale funguje tak, že jakmile se přepínač naučí MAC
adresu karty na odpovídajícím portu, předá komunikaci přímo na tento port.
Připomeňme, že MAC adresa je adresa, která je nastavena v každé síťové kartě
při její výrobě. Zatímco IP adresa se může změnit, MAC adresa pro kartu zůstává
vždy stejná. Předpokládejme, že každá vyrobená karta na světě má jinou MAC
adresu. Protože je komunikace po síti směrována do konkrétního portu, ostatní
porty na přepínači probíhající tok dat nevidí. Dodavatelé přepínačů však již
dříve pochopili, že existují legitimní důvody k tomu, aby někdo potřeboval
vidět veškerý provoz v síti nasměrovaný do jediného portu. Například tehdy,
používá-li analyzátory paketů, které k řešení nastalých problémů skutečně
potřebují vidět pakety všechny.

Jak na přepínače
Společnost Cisco Systems proto např. nabízí program nazvaný Switch Port
Analyzer (SPAN), který umožňuje správcům sítí konfigurovat port přepínače tak,
aby se na něm zrcadlil veškerý provoz procházející tímto zařízením. Je to jeden
z nejnovějších nástrojů a většina síťových specialistů patrně ještě nikdy SPAN
port konfigurovat nepotřebovala. Až si budete někdy povídat s odborníky a
budete od nich chtít, aby vám pomohli s konfigurací senzorů IDS, budete jim
proto patrně muset nejprve poskytnout malou instruktáž.
Pro IDS jsem se rozhodl použít systémy Netra T1 od Sun Microsystems v
konfiguraci s 1 GB paměti RAM a 18 GB na pevném disku. Instaloval jsem
standardní operační systém Solaris 2.7 a pak jsem ho oškubal tak, aby byl
bezpečný. Co všechno jsem změnil: deaktivace Telnetu a protokolu FTP pro
posílání souborů; instalace Secure Shell (SSH) pro kódované relace; instalace
SecurID token agenta od RSA Security k zajištění autentizace na základě
digitální identifikace. Potom jsem zablokoval všechny služby a aplikace, které
nebyly důležité pro IDS. Zároveň jsem provedl některé modifikace jádra
operačního systému, abych posílil protokol TCP pro řízení přenosu. Po instalaci
potřebného softwaru a po dokončení veškeré konfigurace jsem instaloval program
pro kontrolu integrity souborů (Tripwire file integrity checker) od Tripwire
Systems. Tento krok si mohu dovolit jen v případě, kdy vím, že mám starý systém
nedotčený Internetem. Věřím, že teď bude moje zařízení IDS jen velmi obtížně
hacknutelné.
Systémy Netra jsou sympatické, protože se dodávají se dvěma zabudovanými
síťovými rozhraními. Na jednom z nich provádím konfiguraci toho, co se nazývá
"tajný režim" ("stealth mode"). Ten v podstatě způsobuje jen to, že karta je
neviditelná pro všechna zařízení na Internetu. K docílení této "neviditelnosti"
jsem konfiguroval kartu rozhraní na IP adresu 0.0.0.0. Interface teď nemůže
směrovat komunikaci, ale může být nastaven do nevýběrového režimu (promiscuous
mode) a může komunikaci shromažďovat. Druhému rozhraní pochopitelně zadám
skutečnou IP adresu. Tento interface slouží jako můj správcovský port pro
konfiguraci a komunikaci s mojí centralizovanou monitorovací a řídicí stanicí,
která je umístěna v provozním středisku sítě (NOC). Mnozí dodavatelé již
usnadnili počáteční instalaci a konfiguraci softwaru IDS. V případě RealSecure
je to tak jednoduché, že prostě zakoupíte software a zadáte příkaz pkgadd.

Tajný recept
Nejobtížnějším problémem při konfiguraci IDS je vyladění ovladačů a nastavení
efektivní odezvy na jakoukoli událost. RealSecure nabízí možnost výběru ze
stovek událostí a útoků, které můžete sledovat. Čím větší objem událostí musí
software hlídat, tím nižší výkon můžete očekávat. A navíc je časově náročné
také zvládání falešných poplachů. Čím méně událostí bude váš IDS prohledávat,
tím méně vám nabídne falešných poplachů.
Nastavím celý systém tak, aby jeho jednotlivé části monitorovaly určité funkční
oblasti mojí infrastruktury. Jedna bude monitorovat servery Oracle, další
front--end Apache servery a tak dále.
Například vím, že na všech front-end Apache serverech běží Solaris 2.8 s
nejmodernějším patch clusterem a s nejnovějšími verzemi Apache, WU-FTP a SSH.
Proč bych se tedy měl trápit s hlídáním onoho starého hackerského šrotu zvaného
phf, který dokázal zaútočit jen na Apache 1.0 v roce 1997? A proč bych se měl
mít na pozoru před útokem Windows Red Button? V naší síti přece nemáme žádné
servery s Windows NT. Někdo by si mohl myslet, že je důležité hlídat všechny
pokusy o útoky a provést odpovídající nápravná opatření. Znovu říkám, že
kdybych měl malou armádu analytiků nebo bych si mohl dovolit najmout externího
partnera, zkrátka někoho, kdo by odpovídal za sledování všech událostí a
prováděl by bezpečnostní opatření, pak bych mohl hlídat všechny pravděpodobné
útoky. Nyní ovšem vše nastavuji tak, že vybírám jen příznaky útoků, které
představují opravdovou hrozbu pro naše systémy. Nemohu se zabývat vším, co se
vrtí za dveřmi. Protože už mi zde nezbývá mnoho místa na další úvahy, budu se
věnovat otázkám příslušných opatření a odezev na jednotlivé události detekované
IDS zase někdy příště.
1 1335 / pen


Slovník pojmů a odkazy na Web
Promiscuous mode, režim bez výběru: režim podporovaný některými síťovými
kartami, ve kterém karta sbírá všechny pakety, které vidí v síti. Tedy i ty,
které jí nepatří. Phf hack: slabé místo ve staré verzi Apache 1.0, které dovolí
hackerovi provést ve webovém serveru libovolné příkazy. Windows Red Button
attack: útok v prostředí Windows, který využívá toho, že anonymní jméno
uživatele znamená v případě standardního nastavení vlastně skupinu "všichni".
Někteří málo uvědomělí administrátoři přidělují sdílené zdroje, které jsou v
síti standardně dostupné, právě této skupině uživatelů.
Odkazy na Web
lDokument Lance Spitznera na adrese http://www.enteract.com/~lspitz/papers.html
je cenným zdrojem inspirace pro zabezpečení vaší síťové infrastruktury. Ačkoli
se autor ve svých textech zaměřuje především na bezpečnost operačních systémů
Solaris a Windows NT s použitím firewallů, jeho pojednání vám poskytnou spoustu
užitečných informací i pro další oblasti zabezpečení počítačových systémů.
lVšechno, co byste si přáli vědět o portech SPAN, najdete v tomto úctyhodném
materiálu na Webu společnosti Cisco:
http://www.cisco.com/warp/public/473/41.html. lWeb Internet Security Systems,
tvůrce RealSecure: http://www.iss.net/.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.