1 / 20

Distributed Intrusion Detection System

Distributed Intrusion Detection System. Keio University Takefuji Lab. SecurityTeam INAS Kensuke Naoe. Agenda. 侵入検知システムの抱える問題と必要になる機能と機構 無線 LAN のセキュリティの問題 今後の方向性. 侵入検知システムの抱える課題. 未知の手法による攻撃の検出 学習、プロファイル生成 ネットワークモニタリングの限界 暗号化トラフィック、スイッチハブ、 HIDS の見直し NIDS の回避と攻撃

mohammad-jennings
Download Presentation

Distributed Intrusion Detection System

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Distributed Intrusion Detection System Keio University Takefuji Lab. SecurityTeam INAS Kensuke Naoe

  2. Agenda • 侵入検知システムの抱える問題と必要になる機能と機構 • 無線LANのセキュリティの問題 • 今後の方向性

  3. 侵入検知システムの抱える課題 • 未知の手法による攻撃の検出 • 学習、プロファイル生成 • ネットワークモニタリングの限界 • 暗号化トラフィック、スイッチハブ、HIDSの見直し • NIDSの回避と攻撃 • InsertionとEvasion、fragmentation、DoS攻撃(負荷分散、分散IDS) • 監視ネットワークセグメント内に無線LANが存在する場合 分散環境により適した侵入検知システムの開発

  4. 必要になってくる機構 • 大規模な環境で集中管理を必要としない • 計算機が落とされてもIDSとしての機能を失わない • 学習・蓄積する機構 • 究極はPCレベルを単位とする分散環境での侵入検知システム

  5. 分散IDSとは • もともと単一計算機で動作するIDSを拡張 • 幾つかのシステムにまたがった侵入を認識するために、監視する複数の計算機からログ情報を収集し、それらを解析して不正侵入検知を行なう • NIDSとは焦点が違い、ネットワークの監視ではなくホストやOSである

  6. IDSの監視対象 • ネットワークベースIDSはそのセグメント内を監視 • ホストベースIDSはそのホスト自身の挙動、ホストの行なう通信の監視 そのセグメントに無線アクセスポイントが導入されるとどうなるのか 無線LANも監視対象に置くべきであろうか

  7. 無線LANとは • 有線LANケーブルを電波に置き換えた • 1998年ごろにIEEE802.11が規格化されてから本格化 • 当時は1M~2Mbps程度

  8. 無線LANの現状 、普及 • 通信機器の速度向上 • ノートPC、PDAなどのモバイル端末の普及 • IEEE802.11b規格>11Mbps,2.4GHz • 値段もそこそこ • 企業の約半数が無線LANを導入 • 家庭向け無線LAN製品も続々 • ノートPCに標準搭載 • 街中でも無線LANが使える「ホットスポット」 • 喫茶店などの店内や駅構内など

  9. 無線ネットワークにおけるセキュリティ • LANからは有線ネットワークと同じ • 問題解決のアプローチを有線LANと同じにすることは大変危険 • 有線のクラッキングの場合、物理的に近づく必要があった • 無線のクラッキングの場合、アクセスポイントの通信可能範囲に入るだけ • ジャミングなど無線ならではの不正アクセス手法

  10. 無線LAN独特の問題 • 隠れ端末問題 • インフラストラクチャーモード • アドホックモード

  11. 無線LANの危険性 • 外部から無線LANに侵入される • 通信内容の第3者への漏洩 電波による交信が可能な範囲なら屋外からでも可能  無線LANのクライアントから放射される電波を傍受、又は 無線LANに接続して通信内容をモニターすることで内容が 第3者に漏洩する危険性がある

  12. じゃ、破ってみよう • ESSID • NetStumbler • WEP • AirSnort

  13. NetStumbler

  14. WEPを破るツール • AirSnort • 2001.8.2 • Using the Fluhrer, Mantin, and Shamir Attack to Break WEP • 128bitの鍵長で暗号化した通信をおよそ2時間

  15. WEP解析機能のあるAirSnort

  16. 問題点 • ESSID  基本的に垂れ流しのID • WEPキーの解析 暗号化方式に脆弱性あり • デフォルト状態でのAP運用 • 実はかなり多い • WEPなし、ESSID:ANY • 無線ネットワークセグメントは無線LANのセキュリティで管理するのか、IDSの監視対象とするか • 対象外?対象に入れるか • 別のアプローチで対処

  17. 作成しようとするDIDSとは?            (大雑把ですが)作成しようとするDIDSとは?            (大雑把ですが) • 検出部分のセンサと制御部分のマネジャを一括。ログ、シグネチャ、プロファイルなどの検出に必要なDBも分散配置 • 攻撃手法や不正アクセスのパターンを蓄積、学習。新しい攻撃は定義ファイルなどで配布可能 • 異常検出のアルゴリズムも採択することで誤警報率を抑制 • シグネチャと攻撃手法、不正行為とプロファイルの比較を高速化(メタデータを生成)

  18. 嬉しいことは? • 管理する計算機での処理は減る • ネットワーク全体としてみたときに連携力があり堅牢になる • PCユーザで管理可能 • パーソナルFWに取って代わる? • ユーザが多ければ多いほどデータが取れる • ユーザレベルで定義ファイルを作成、UP • 免疫がつく、個としては弱いが全体としては強い • 感染、攻撃されてしまった計算機をネットワークから切り離せる>切り離してもシステムとして機能する

  19. イメージ図

  20. 実装の問題点 • Hikeshi • ネットワーク監視部分はオープンソースのIDSがある • Snort、Pakemon • メタデータの生成、やり取りが問題? • RDFでシグネチャやプロファイルデータを記述 • RDF Query Lanugages、RDF Query Specification • RDFで書かれたメタデータを知識ベースとして捕らえ知識表現や推論の技法を用いて検索を行なう手法

More Related