Bezpečnosť informačných systémov

1. Bezpečnosť informačných systémov IDS (Intrusion Detection System) Pavel Johan

2. OBSAH • Čo je IDS? • CIDF • CIDF moduly • NIDS • HIDS • Ako preniknúť cez IDS

3. Čo je IDS? • Intrusion Detection System • Je to technika odhaľovania neoprávnenej, nesprávnej, alebo nezvyklej aktivity počítačového systému

4. CIDF(Common Intrusion Detection Framework) • základ moderných systémov detekcie prienikov • definuje modely • Generátor udalostí • Analytický modul • Ukladací mechanizmus • Modul protiopatrení

5. Generátor udalostí • Informácie o vzniku udalostí • Udalosť -prihlásenie používateľa, spustenie programu -poskytuje indíciu

6. Analytický modul • analýza udalostí • analytické techniky -grafy -štatistické anomálie

7. Ukladací mechanizmus • definuje prostriedky na ukladanie bezpečnostných informácii • často iba varovanie

8. Modul protiopatrení • Reakcia v reálnom čase • Akcie z dopadom na celú chránenú časť • Lokálne akcie - zrušenie spojenia - odhlásenie používateľa

9. NIDS (Network Based Intrusion Detection system) • NIDS sa spolieha na jeden alebo viac systémov, ktoré skenujú sieť • pakety sú porovnávané s databázou známych útokov a hľadá sa zhoda

10. Problémy pre NIDS • Nový vírus • Kryptované dáta • Switche

11. Prečo vlastne NIDS ? • jednoduchosť implementácie • cena, cena, cena

12. HIDS(Host Based Intrusion Detection system ) • Serverovo orientovaný HIDS sa spolieha na privilegovaný program alebo proces, ktorý beží na každej sledovanej stanici či serveri, ktoré majú byť chránené • maximalizácia bezpečnosti celého prostredia.

13. Prečo HIDS? • je možné sledovať aj kryptovanú sieťovú komunikáciu • priepustnosť siete už nie je problém • monitoruje interný stav systému • Flexibilita

14. Nevýhody HIDS • cena, cena, cena

15. Ako preniknúť cez IDS? • 1. prienik do systému bez povšimnutia IDS • 2. prienik do systému cez zblbnuté IDS ktoré do takého stavu dostaneme prostredníctvom falošných príkazov

16. 1. Prienik • 1. Útok prevádzaný cez zašifrované HTTP čiže HTTPS • Použijeme techniku "tunelovania útoku cez SSL„ použitie OpenSSL upravíme si súbor inetd.conf (/etc/inetd.conf) • doplníme tam riadok : • www stream tcp nowait root /usr/src/tcpd /tmp/sslconnect.sh • a súbor sslconnect.sh bude vyzerať nejak takto : • #!/bin/bash • openssl s_client -no_tls1 -quiet -connect IP_adresa_servera:443 • 2>/dev/null • v tomto prípade bude odchytávaný všetok prenos cez port 80 a bude odosielaný serveru portom SSL a to je 443.

17. 1. Prienik • 2.Polymorfné URL • 2.1 --šestnástkové kódovanie URL znakov • Všetky metaznaky v url zakódujeme priamo do dvojčíselného šestnáckového ACSII kódu. • 2.2 --vkladanie "/./" • príklad : chceme sa dostať ku súboru /msadc/lama.exe • zadáme : GET /./msadc/./lama.exe alebo : GET /.//./msadc/.//./lama.exe • 2.3 --doplňovanie falošných ciest • príklad : chceme sa dostať ku suboru /msadc/lama.exe • zadáme: GET /obrázky/../msadc/fotky/../lama.exe • 2.4 --použitie neštandardných oddeľovačov cesty (pri IIS) • namiesto / sa v IIS môže používať aj \ • 2.5 --použitie násobných lomítok • príklad: GET //msadc//lama.exe alebo : //////msadc//////lama.exe

18. 2.Prienik • prostredníctvom falošných príkazov • Vyvolať taký planý poplach na vzdialenom systeme môžeme velmy jednoducho, stačí nám vedeť • na aké znaky IDS reaguje. • www.example.sk/index.html#cmd.exe (prípad MS) • www.example.sk/index.php?premene=cat+/etc/shadow| (príklad unixu) • Jednoducho bude IDS reagovať na naše podložené znaky v URL a neustále upozorňovať administrátora (zápis do logov, protokolov). • Takáto činnosť podstrkovania slov/znakov sa dá jednoducho zautomatizovať pomocou rôznych nástrojov, • V takom prípade sa to opakuje omnoho rýchlejšie a vzdialené IDS môžme priviesť do stavu kedy si náš prienik ani nevšimne.

19. Ďakujem za pozornosť