2009.01_Open Source Security Information Management – system wykrywania intruzów_[Bezpieczenstwo].pdf - Bezpieczenstwo - Kapy97

Bezpieczeństwo

Open Source Security Information Management – system wykrywania intruzów

wykrywania intruzów

Grzegorz Gałęzowski

Motto NSA – agencji rządu USA, odpowiedzialnej za bezpieczeństwo, w tym także bezpieczeństwo

systemów teleinformatycznych, brzmi „Ufamy Bogu – wszystko inne sprawdzamy”. Większość

administratorów ślepo wierzy w produkty i usługi pochodzące od dużych i renomowanych producentów.

Często jednak takie myślenie jest weryikowane przez mniej lub bardziej uzdolnionych włamywaczy.

leży testować i monitorować, głównie po to,

by uprzedzić potencjalnych intruzów. Lepiej

jest wykryć niebezpieczeństwo samemu, niż

czekać, aż zrobią to hakerzy.

Co powinno być monitorowane i testowane? Głównie

wartości, które powinny podlegać ochronie, które najprościej

i najbezpieczniej określić na podstawie Polityki Bezpieczeń-

stwa. Podstawowe założenie to nie wpuścić wroga do nasze-

go systemu teleinformatycznego.

cia zmiany stanu systemu lub sieci komputerowej. Przy

wykryciu zmian IDS, może wysłać wiadomość alarmo-

wą lub podjąć zdeiniowane działania, aby odpowiednio

ochronić sieć.

Wyróżniamy dwa główne rodzaje systemów IDS:

• oparte na serwerze (ang. Host-based );

• oparte na sieci komputerowej (ang. Network-based ).

Pierwszy typ charakteryzuje się tym, że skanuje logi syste-

mowe i otwarte połączenia sieciowe. Może także skanować

dysk twardy komputera w poszukiwaniu anomalii.

Drugi typ polega głównie na nasłuchiwaniu sieci i wyła-

pywaniu zdarzeń w niej zachodzących.

Systemy IDS dostarczają szeregu różnych usług:

Czym monitorować?

Rozwiązań może być bardzo wiele. Każdy wybiera to, w czym

najlepiej się czuje i co w trakcie eksploatacji jest najtańsze.

W miarę czasu używania przeważają koszty (głównie godzi-

ny pracy administratora) przeznaczone na pielęgnację systemu,

na wprowadzane modyikacje itp. Dlatego do monitorowania na-

leży wybrać dostosowany do naszych wymagań system IDS.

• Identyikują ruch sieciowy;

• Alarmowanie poprzez wysyłanie komunikatów do ad-

ministratora;

• Zmiana koniguracji systemu, wiele systemów IDS udo-

stępnia zmianę koniguracji systemu w przypadku prze-

prowadzonego ataku.

Czym jest IDS

IDS (ang. Intrusion Detection System – System Wy-

krywania Włamań) jest systemem, zdolnym do wykry-

styczeń 2009

OSSIM – system

K ażdą stosowaną instalację informatyczną, na-

Bezpieczeństwo

Open Source Security Information Management – system wykrywania intruzów

Systemy IDS umożliwiają określanie następu-

jących zdarzeń:

• Rodzaj protokołu, np. czy pakiet należy do

protokołu UPC, TCP itd.;

• Pochodzenie źródłowego adresu IP;

• Przeznaczenie wysyłanych pakietów;

• Porty źródłowe: informuje o portach uży-

wanych przez serwer, z których wychodzą

dane pakiety;

• Port docelowy: informuje o portach uży-

wanych przez serwer, do których wchodzą

dane pakiety;

• Sumy kontrolne: które strzegą integralno-

ści przesyłanych pakietów;

• Numery sekwencji: informuje o kolejności

wytworzonych pakietów;

• Informacje o pakietach: potrai przeprowa-

dzić analizę przesyłanych pakietów.

Warto jeszcze przypomnieć o dwóch podstawo-

wych strategiach na podstawie których działa-

ją systemy IDS:

Rysunek 1. Nessus – aplikacja kliencka połączona z serwerem nessusd

• Aplikacje oparte na regułach. Jest to naj-

bardziej rozpowszechniony typ systemów

IDS. Wynika to z tego, że jest on najprost-

szy do zainstalowania;

• Aplikacje oparte na anomaliach. Tego

typu systemy IDS pobierają próbki ru-

chu sieciowego, który będzie stanowił

odniesienie dla przyszłych analiz. Na-

stępnie takie informacje składowane są

w bazie danych systemu IDS i stano-

wią wzorzec przy dalszej analizie ruchu

sieciowego. Występuje tutaj problem

z ustaleniem co można rozumieć przez

tzw. normalny ruch sieciowy, który ma

być wzorem przy wykrywaniu anoma-

lii. Powoduje to problemy w konigura-

cji takiego systemu.

W ostatnich latach pojawiło się szereg no-

wych narzędzi IDS z otwartym kodem źró-

dłowym (open source). Te narzędzia, chociaż-

by takie jak Groundwork's, jest narzędziem

do monitorowania sieci, składa się z szeregu

zintegrowanych narzędzi open source, oparte

często na interfejsie Web lub kliencie z gra-

iczną konsolą. Narzędzia te są przeznaczone

do konsolidacji wielu różnych wyspecjalizo-

wanych narzędzi open source z zakresu bez-

pieczeństwa, za pośrednictwem jednego silni-

ka lub interfejsu administracyjnego.

OSSIM lub inaczej Open Source Securi-

ty Information Management, jest jednym z ta-

kich narzędzi. Jest on skierowany na potrzeby

profesjonalistów w celu zapewnienia bezpie-

czeństwa sieci teleinformatycznej i wykrywa-

Rysunek 2. Nessus w systemie OSSIM

Rysunek 3a. NMAP – skaner portów zaimplementowany w Nmap

www.lpmagazine.org

Bezpieczeństwo

Open Source Security Information Management – system wykrywania intruzów

nia wszelkich anomalii. OSSIM łączy szero-

ki wybór sieci, hostów i zarządzania urządze-

niem i narzędzi informacyjnych wraz z korela-

cją silnika. Obejmuje ona możliwości wizuali-

zacji, jak również zgłaszania incydentów i na-

rzędzi zarządzania.

OSSIM ma architekturę trójwarstwową.

Pierwsza warstwa to baza danych ( mysql ), na-

stępna warstwa to serwer aplikacji, ostatnią,

trzecią warstwą jest tutaj graiczny front-end

bazujący na aplikacji Web. Dodatkowo do-

dano do niego grupę agentów i wtyczek, któ-

re zbierają informacje ze zdalnych jednostek

znajdujących się w sieci lokalnej.

OSSIM zawiera takie narzędzia jak:

Rysunek 3b. Ntop w systemie OSSIM

• Arpwatch – (wykrywania arp-spooingu )

analizuje nowo pojawiające się w siecia-

dresy MAC. W przypadku odnalezienia no-

wego adresu wysyła o tym powiadomienie.

Przydaje się przy wykrywaniu nieautoryzo-

wanego udostępniania Internetu itd;

• p0f (pasywne wykrywanie systemu ope-

racyjnego i analiza proilu), analizuje

pakiety w sieci pod kątem używanych

w niej systemów operacyjnych. W od-

różnieniu od innych skanerów sam nic

nie wysyła i jest całkowicie pasywny. Ze

względu na swój pasywny charakter jest

często wykorzystywany w systemach

IDS;

• Nessus (skaner bezpieczeństwa) (Rysunek 1

i 2). Nad tym programem warto się zatrzy-

mać przez chwilę dłużej. Początki projektu

Nessus sięgają roku 1998, jest klasycznym

przedstawicielem automatycznych skane-

rów bezpieczeństwa sieci, nie odbiegającym

od standardów wyznaczanych przez pro-

dukty komercyjne.

Rysunek 4. Nagios

Interesującą cechą Nessusa jest uwzględniona

od samego początku architektura klient-serwer.

System składa się z dwóch komponentów: de-

mona nessusd działającego w tle i pozbawione-

go interfejsu użytkownika, co umożliwia jego

instalację na praktycznie dowolnym serwerze.

Ten element jest odpowiedzialny za faktycz-

ne testowanie wskazanych przez klienta ser-

werów, któremu zwraca nieobrobione wyniki.

Klient łączy się z serwerem i stanowi faktycz-

ny interfejs użytkownika, wraz z funkcją pre-

zentacji raportów.

Taki dobór architektury umożliwia wykony-

wanie wielu skanów równocześnie przez wielu

użytkowników z jednej centralnej maszyny.

Skanowanie ma charakter dwuetapowy

– na początku znajdowane są otwarte i praw-

dopodobnie otwarte porty TCP i UDP. Drugim

krokiem jest przeanalizowanie usług, działają-

Rysunek 5. OCS-NG – inwentaryzacja zasobów systemu teleinformatycznego

styczeń 2009

Bezpieczeństwo

Open Source Security Information Management – system wykrywania intruzów

cych na znalezionych portach. Jest to etap naj-

bardziej czasochłonny, ponieważ skaner anali-

zuje każdy z portów z osobna.

Jako interesującą cechę można wymienić

umiejętność sprawdzania serwerów ukrytych

za protokołem SSL. W raportach przedstawia

pełne informacje o znalezionych serwerach, np.

HTTP/SSL.

Zidentyikowane usługi są testowane pod

kątem występowania dziur specyicznych dla

poszczególnych programów je obsługujących.

Nessus nie sugeruje się numerem wersji zwraca-

nym w nagłówku przez serwery, dlatego też ta-

ka dezinformacja nie odniesie w jego przypad-

ku zbyt wiele. Podczas skanowania portów Nes-

sus próbuje także wykryć markę i wersję skano-

wanego systemu za pomocą techniki stack in-

terprinting. Pozwala ona identyikować systemy

operacyjne na podstawie drobnych różnic w im-

plementacji ich stosów TCP/IP, możliwych do

Rysunek 8. Wybór języka, który będzie używany w

dalszym etapie instalacji

Rysunek 9. Wybór układu klawiatury

Rysunek 6. Informacje o aktualizacjach aplikacji na stacjach roboczych

Rysunek 10. System ładuje niezbędne składniki do

przeprowadzenia dalszej instalacji

Rysunek 11. Koniguracja sieci – ustalenie adresu

IP dla hosta

Rysunek 7. Ekran powitalny instalatora

Rysunek 12. Koniguracja sieci – wprowadzenie ad-

resu maski podsieci

www.lpmagazine.org

Bezpieczeństwo

Open Source Security Information Management – system wykrywania intruzów

stwierdzenia za pomocą odpowiednio spreparo-

wanych pakietów IP. Informacja ta jest wykorzy-

stana przez skaner do optymalizacji testów.

na protokołach IP/TCP/UDP/ICMP. Potra-

i przeprowadzać analizę strumieni pakie-

tów, wyszukiwać i dopasowywać podejrza-

ne treści, a także wykrywać wiele ataków

i anomalii, takich jak przepełnienia bufora,

skanowanie portów typu stealth, ataki na

usługi WWW, SMB, próby wykrywania

systemu operacyjnego i wiele innych;

• Ntop pozwala na posortowanie ruchu siecio-

wego wg protokołów czy wyświetlenie sta-

tystyk ruchu. Dzięki niemu można również

podejrzeć rozkład ruchu IP w różnych pro-

tokołach oraz zidentyikować adresy ma-

ilowe użytkowników komputerów. To tylko

przykłady. Możliwości NTOP-a są znacznie

większe. NTOP pozwala na sortowanie ru-

chu sieciowego w oparciu o wiele kryteriów,

analizę ruchu na podstawie jego źródła i ce-

lu. NTOP może również działać jako kolek-

tor NetFlow/sFlow oraz generować RMON-

o podobne statystyki ruchu (Rysunek 3b).

• Pads, program wykorzystywany do wy-

krywania wszelakich anomalii zachodzą-

cych w sieci;

• Spade, statystycznie analizuje pakiety

w sieci, określając, czy są one normalne

lub nienormalne w oparciu o historyczną

analizę ruchu sieciowego. Jest preproceso-

rem dla systemu SNORT IDS;

• Tcptrack, ptrack to sniffer, który wyświe-

tla informacje na temat połączeń TCP. Wi-

dzi go na interfejs sieciowy. Go biernie ze-

garki dla połączeń w sieci interfejs, śledzi

ich stan i wyświetla listę połączeń w spo-

sób podobny do UNIX 'top' command.

Wyświetla źródłowych i docelowych ad-

resów i portów, stan połączenia, czas bez-

czynności, a wykorzystanie pasma;

• Nagios. Nagios to aplikacja do monitoro-

wania komputerów oraz usług. Monitoru-

je usługi takie jak SMTP, POP3, HTTP,

NNTP i wiele innych. Oprogramowa-

nie czuwa także nad wykorzystaniem za-

sobów na hostach. Pilnuje np. obciążenia

procesora, wykorzystania dysku i pamięci,

• NMAP (skaner portów) jest zaawansowa-

nym skanerem serwerów sieciowych. Po-

siada on wiele funkcji, co sprawia, że jest

to najpopularniejszy skaner dla systemów

UNIX/Linux. Zaletą tego programu jest

bogata baza sygnatur stosów TCP/IP po-

szczególnych systemów operacyjnych, po-

zwalająca na ustalanie nazwy i wersji sys-

temu działającego na maszynie będącej

celem skanowania. Dzięki temu, że rozpo-

znawanie oparte zostało o charakterystykę

stosu TCP/IP, nie można zafałszować tych

danych poprzez zmianę tekstu, jakim zgłasza

się dana usługa systemowa (Rysunek 3a);

• Snort to bardzo silny sieciowy system wy-

krywania ataków (ang. Network Intrusion

Detection System , NIDS), który daje różne

mechanizmy detekcji, mogących w czasie

rzeczywistym dokonywać analizy ruchu i

rejestrowania pakietów w sieciach opartych

Rysunek 16. Koniguracja sieci – wybór używanej

domeny

Rysunek 13. Koniguracja sieci – wprowadzenie ad-

resu bramy sieciowej

Rysunek 15. Koniguracja sieci – wprowadzenie na-

zwy hosta

Rysunek 17. System przeprowadza skanowanie do-

stępnych urządzeń

Rysunek 14. Koniguracja sieci – wprowadzenie adresu serwera DNS

Rysunek 18. Wybór sposobu partycjonowania

styczeń 2009

2009.01_Open Source Security Information Management – system wykrywania intruzów_[Bezpieczenstwo].pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: