Presentation laddar. Vänta.

Presentation laddar. Vänta.

Anders Ingeborn Intrångsdetektering Teori och praktik.

Publicerades avAndreas Gustafsson

Liknande presentationer

En presentation över ämnet: "Anders Ingeborn Intrångsdetektering Teori och praktik."— Presentationens avskrift:

1 Anders Ingeborn Intrångsdetektering Teori och praktik

2 Anders Ingeborn Vem är jag? Civ.ing. Datateknik, KTH Säkerhetsinriktningen 1998 Säkerhetskonsult Infosec 2000 –penetrationstester –simulerade attacker

3 Anders Ingeborn Dagens föreläsning Bakgrund Intrångsdetektering Utblick verkligheten Framtiden Mer information

4 Anders Ingeborn Bakgrund

5 Anders Ingeborn Vad är folk rädda för? Intrång, industrispionage ”Personliga integriteten” ”Hackers” som byter ut webbsidor Blockerade e-handelsplatser

6 Anders Ingeborn Vanlig situation idag Anti-virus –Inkommande e-post –Filer Brandväggar –Skalskydd, attacker utifrån –Ofta ganska statiskt

7 Anders Ingeborn Vad saknas? Attacker från ”insidan” Allmän övervakning –Trafikflöden –Beteende

8 Anders Ingeborn Intrångsdetektering

9 Anders Ingeborn Vilken funktion fyller ett IDS? ”Intelligent” övervakning Grundläggande modell –Samla information –Analysera Upptäcka intrång –Vidta åtgärder Larma Avbryta Samla bevis

10 Anders Ingeborn Beståndsdelar i ett IDS Sensorer Analysverktyg Kunskapsdatabaser Övervakningsarkiv Larm Administrationsverktyg, gränssnitt ”CIDF” (Common Intrusion Detection Framework, DARPA, USA)

11 Anders Ingeborn Vad är ett ”intrång”? Vad vill vi detektera? –Studier SRI International U. Lindqvist & E. Jonsson, Chalmers –Bra sammanfattning E. Amoroso

12 Anders Ingeborn Exempel Upprepade misslyckanden –Antal, intervall Felskrivna kommandon –Protokoll Motsägelsefulla användaraktiviteter –root Motsägelsefulla trafikmönster –Falska adresser

13 Anders Ingeborn forts. exempel Avvikelser i rutiner –Backup-tagning Onormal aktivitet –Tid, adress, användaridentitet mm Otillåtna trafikflöden –”Misstänkta” strängar mm /etc/shadow.mp3

14 Anders Ingeborn Samla in information Allmänna systemloggar –Inloggningar –Omstarter –Tjänster Avlyssning –Sensorer / agenter Nätverksbaserad Datorbaserad

15 Anders Ingeborn Nätverksbaserad insamling Sensorer –Anslutna till nätverkssegment utan egen adress, ”osynliga” –Integrerade i nätverkskomponenter Bra –Belastar inga andra datorer –Kan upptäcka pågående attack Dåligt –Missar attacker som ej går över nätet –Sessionskryptering

16 Anders Ingeborn Datorbaserad insamling Övervakningsmoduler på varje dator Bra –Kan se resultatet av en attack –Inte känsligt för sessionskryptering –Ingen extra hårdvara Dåligt –Belastar värddatorn –Värddatorn får ej slås ut –Olika operativsystem

17 Anders Ingeborn Principer för analys Förbjudet –Enkla regler –Signaturer –Kända attacker / missbruk ”Onormalt” –Givna parametrar att bevaka –Allmänna avvikelser från det normala –Nya attacker

18 Anders Ingeborn Att identifiera kända attacker Enkla regler –Jfr. brandvägg –Enkelt och effektivt, men inte så kraftfullt Mönstermatchning / attacksignaturer –Jfr. anti-virus –Kräver uppdateringar Dynamiska associationer –T ex inloggningsförsök –Korrelation med tidigare aktiviteter?

19 Anders Ingeborn Att identifiera ”nya” attacker Statistiska profiler –Paket riktning, tid, antal mm –Sessioner riktning, tid, datamängd mm –Användare (användaridentitet) tid, datum, adress, beteende mm –Tjänster (öppna portar) tid, datum, adress mm

20 Anders Ingeborn Neurala nät –Idag mest i teorin –Invärden Vilka parametrar? Översättning? –Utvärden Vad vill man ha ut? Klassificering? Larm? Många falsklarm, all ”ny” aktivitet är inte fientlig –Inlärning Isolerad eller verklig? ”Lagom” träningsmängd? Överinlärning...

21 Anders Ingeborn Var skall analysen ske? Distribuerat i varje sensor –Sensorerna blir för komplexa –Uppdatering av information Via central eller alla till alla Centralt –Kommunikation till central sårbar Separat kanal (dubbla nätverkskort)

22 Anders Ingeborn Överföring av information Push –Vad betyder ingen information? Ingen attack eller utslagen sensor –Regelbundna livstecken Pull –Långa intervall Missade attacker Realtid? –Korta intervall Mycket merarbete

23 Anders Ingeborn Kunskapsdatabaser Strängar och teckenkombinationer Statistiska profiler –Aktuell statistik –Aktuella gränsvärden Attacksignaturer –Senaste versioner

24 Anders Ingeborn Lagring av information Arbetsminne Loggar Arkiv

25 Anders Ingeborn Åtgärder Larm –E-post, personsökare, telefon Omkonfigurering av brandväggar etc –OPSEC m fl Avsluta sessioner ”Motattacker” –Falska avsändaradresser…? –Oetiskt

26 Anders Ingeborn Utblick verkligheten

27 Anders Ingeborn System på marknaden (1) ISS RealSecure –Kanske det mest sålda? Cisco NetRanger –Goda förutsättningar för integration i nätverkskomponenter Network Flight Recorder –”N-code” kraftfullt språk Axent NetProwler & Intruder Alert –Global skalbarhet

28 Anders Ingeborn System på marknaden (2) Network Associates CyberCop –Nätverksbaserat och datorbaserat i ett ”next generation” Computer Associates SessionWall –Framtida kombination med ”Neugents”? Naval Surface Warfare Center, Shadow –Öppen källkod för Unixsystem Tripwire –Ett av de äldsta datorbaserade systemen

29 Anders Ingeborn Dagens system Attacksignaturer –Ett par hundra olika attacker –Regelbundna uppdateringar Interoperabilitet –Ej för attacksignaturer –Med t ex brandväggar, men inte andra IDS Skalbarhet –Ett par hundra agenter per central

30 Anders Ingeborn Problem ”50 ways to defeat your IDS”, F. Cohen –Dela upp en attack – ”smygteknik” Använd olika IP-adresser Använd olika användarnamn –Döp om känsliga kommandon su –Skapa en stor mängd falsklarm fyll upp minne trötta ut administratörerna

31 Anders Ingeborn forts. problem ”Anti-IDS tactics”, Rain Forest Puppy –Dela upp ett kommando på flera paket 2-3 tecken per IP-paket –Förvräng kommandon så att IDS missar men offret förstår GET /index.html HTTP/1.0 GET /./././i%6e%64ex.%68t%6dl HTTP/1.0 Avvägning mellan snabbhet och smarthet...

32 Anders Ingeborn Spekulation om framtiden Uppsving för datorbaserad ID –Sessionskryptering –CyberCop Neurala nät –Kraftfullt mot nya attacker –Neugents Integration i nätverkskomponenter –Switchar mm

33 Anders Ingeborn forts. framtiden Interoperabilitet –Nätverkskomponenter –Attackdatabaser Skalbarheten förbättras –”Globalisering” ”Data warehousing and mining techniques” –Stora loggar och arkiv

34 Anders Ingeborn Mer information Böcker –Stephen Northcutt ”Network Intrusion Detection” (400:-) –Edward Amoroso ”Intrusion Detection” (500:-) –Rebecca Bace ”Intrusion Detection” (600:-)

35 Anders Ingeborn Forskning Chalmers, Erland Jonsson SRI International, Kalifornien

36 Anders Ingeborn Frågor?

37 Anders Ingeborn Slut!

Ladda ner ppt "Anders Ingeborn Intrångsdetektering Teori och praktik."

Liknande presentationer

Skydda dig mot okända faror

Skydda dig mot okända faror
Inloggning Mobil Administration Finns på Ange ditt användarnamn och PIN-kod. Klicka på OK. Ett SMS skickas till din mobil.

Inloggning Mobil Administration Finns på Ange ditt användarnamn och PIN-kod. Klicka på OK. Ett SMS skickas till din mobil.
- En gemensam plattform för lärande för Katrineholms kommuns förskolor, grundskolor och gymnasieskolor.

- En gemensam plattform för lärande för Katrineholms kommuns förskolor, grundskolor och gymnasieskolor.
© Anders Ingeborn 08-662 10 70 www.ixsecurity.com Säkerhetsbrister & intrång KTH DSV Kista maj 2001.

© Anders Ingeborn Säkerhetsbrister & intrång KTH DSV Kista maj 2001.
Meny •Hem: Visar denna sida. Kan användas för allmän info •ProNavigo visar Modellen, mallar, checklistor •Projektlänkar: visar en undermeny med lämpliga.

Meny •Hem: Visar denna sida. Kan användas för allmän info •ProNavigo visar Modellen, mallar, checklistor •Projektlänkar: visar en undermeny med lämpliga.
Addera Stöd för PULL i EI

Addera Stöd för PULL i EI
Att söka och förvalta kunskap

Att söka och förvalta kunskap
Utbildning föreningsadministratör. Viktiga datum! Fr.o.m. 1/7 2013 är det krav på att aktiviteter/sammankomster ska närvarorapporteras i kommunens system.

Utbildning föreningsadministratör. Viktiga datum! Fr.o.m. 1/ är det krav på att aktiviteter/sammankomster ska närvarorapporteras i kommunens system.
Frågor Allmän IT-kunskap avsnitt 1 kapitel 1 Repetition 4

Frågor Allmän IT-kunskap avsnitt 1 kapitel 1 Repetition 4
Lektion 6 Mahmud Al Hakim

Lektion 6 Mahmud Al Hakim
Välkommen! Effektiv och professionell telefoni med Vision 80/20 CC Michell Grip 040-691 9033.

Välkommen! Effektiv och professionell telefoni med Vision 80/20 CC Michell Grip
Docent Peter Parnes Luleå tekniska universitet Medieteknik 17 februari, 2005 teknik medie Mänsklig kommunikation.

Docent Peter Parnes Luleå tekniska universitet Medieteknik 17 februari, 2005 teknik medie Mänsklig kommunikation.
Programmering B PHP Lektion 1

Programmering B PHP Lektion 1
Nyutveckling av DOK 2009-11-04. • Projektorganisationen • Vilka är CTK • Hur uppdraget uppkom • Den gamla versionen • Hur vi har jobbat • Utmaningar i.

Nyutveckling av DOK • Projektorganisationen • Vilka är CTK • Hur uppdraget uppkom • Den gamla versionen • Hur vi har jobbat • Utmaningar i.
Teknik som ger trygghet, rättvisa och ekonomi

Teknik som ger trygghet, rättvisa och ekonomi
Marknadsföring & Internet

Marknadsföring & Internet
”Ett sätt att distribuera Business Objects via webben”

”Ett sätt att distribuera Business Objects via webben”
Så skapar du en spänstigare It-infrastruktur! Per Bergman, IT-arkitekt

Så skapar du en spänstigare It-infrastruktur! Per Bergman, IT-arkitekt
Ali Ghodsi Global Computing Ali Ghodsi –Swedish Institute of Computer Science (SICS) Kungliga Tekniska Högskolan (KTH)

Ali Ghodsi Global Computing Ali Ghodsi –Swedish Institute of Computer Science (SICS) Kungliga Tekniska Högskolan (KTH)
Examensarbete 2002-04-09 En central telefonitjänst för talaradaption med lagring och nedladdning till olika applikationer.

Examensarbete En central telefonitjänst för talaradaption med lagring och nedladdning till olika applikationer.

Liknande presentationer

Google-annonser