Anders Ingeborn Intrångsdetektering Teori och praktik

Anders Ingeborn Vem är jag? Civ.ing. Datateknik, KTH Säkerhetsinriktningen 1998 Säkerhetskonsult Infosec 2000 –penetrationstester –simulerade attacker

Anders Ingeborn Dagens föreläsning Bakgrund Intrångsdetektering Utblick verkligheten Framtiden Mer information

Anders Ingeborn Bakgrund

Anders Ingeborn Vad är folk rädda för? Intrång, industrispionage ”Personliga integriteten” ”Hackers” som byter ut webbsidor Blockerade e-handelsplatser

Anders Ingeborn Vanlig situation idag Anti-virus –Inkommande e-post –Filer Brandväggar –Skalskydd, attacker utifrån –Ofta ganska statiskt

Anders Ingeborn Vad saknas? Attacker från ”insidan” Allmän övervakning –Trafikflöden –Beteende

Anders Ingeborn Intrångsdetektering

Anders Ingeborn Vilken funktion fyller ett IDS? ”Intelligent” övervakning Grundläggande modell –Samla information –Analysera Upptäcka intrång –Vidta åtgärder Larma Avbryta Samla bevis

Anders Ingeborn Beståndsdelar i ett IDS Sensorer Analysverktyg Kunskapsdatabaser Övervakningsarkiv Larm Administrationsverktyg, gränssnitt ”CIDF” (Common Intrusion Detection Framework, DARPA, USA)

Anders Ingeborn Vad är ett ”intrång”? Vad vill vi detektera? –Studier SRI International U. Lindqvist & E. Jonsson, Chalmers –Bra sammanfattning E. Amoroso

Anders Ingeborn Exempel Upprepade misslyckanden –Antal, intervall Felskrivna kommandon –Protokoll Motsägelsefulla användaraktiviteter –root Motsägelsefulla trafikmönster –Falska adresser

Anders Ingeborn forts. exempel Avvikelser i rutiner –Backup-tagning Onormal aktivitet –Tid, adress, användaridentitet mm Otillåtna trafikflöden –”Misstänkta” strängar mm /etc/shadow.mp3

Anders Ingeborn Samla in information Allmänna systemloggar –Inloggningar –Omstarter –Tjänster Avlyssning –Sensorer / agenter Nätverksbaserad Datorbaserad

Anders Ingeborn Nätverksbaserad insamling Sensorer –Anslutna till nätverkssegment utan egen adress, ”osynliga” –Integrerade i nätverkskomponenter Bra –Belastar inga andra datorer –Kan upptäcka pågående attack Dåligt –Missar attacker som ej går över nätet –Sessionskryptering

Anders Ingeborn Datorbaserad insamling Övervakningsmoduler på varje dator Bra –Kan se resultatet av en attack –Inte känsligt för sessionskryptering –Ingen extra hårdvara Dåligt –Belastar värddatorn –Värddatorn får ej slås ut –Olika operativsystem

Anders Ingeborn Principer för analys Förbjudet –Enkla regler –Signaturer –Kända attacker / missbruk ”Onormalt” –Givna parametrar att bevaka –Allmänna avvikelser från det normala –Nya attacker

Anders Ingeborn Att identifiera kända attacker Enkla regler –Jfr. brandvägg –Enkelt och effektivt, men inte så kraftfullt Mönstermatchning / attacksignaturer –Jfr. anti-virus –Kräver uppdateringar Dynamiska associationer –T ex inloggningsförsök –Korrelation med tidigare aktiviteter?

Anders Ingeborn Att identifiera ”nya” attacker Statistiska profiler –Paket riktning, tid, antal mm –Sessioner riktning, tid, datamängd mm –Användare (användaridentitet) tid, datum, adress, beteende mm –Tjänster (öppna portar) tid, datum, adress mm

Anders Ingeborn Neurala nät –Idag mest i teorin –Invärden Vilka parametrar? Översättning? –Utvärden Vad vill man ha ut? Klassificering? Larm? Många falsklarm, all ”ny” aktivitet är inte fientlig –Inlärning Isolerad eller verklig? ”Lagom” träningsmängd? Överinlärning...

Anders Ingeborn Var skall analysen ske? Distribuerat i varje sensor –Sensorerna blir för komplexa –Uppdatering av information Via central eller alla till alla Centralt –Kommunikation till central sårbar Separat kanal (dubbla nätverkskort)

Anders Ingeborn Överföring av information Push –Vad betyder ingen information? Ingen attack eller utslagen sensor –Regelbundna livstecken Pull –Långa intervall Missade attacker Realtid? –Korta intervall Mycket merarbete

Anders Ingeborn Kunskapsdatabaser Strängar och teckenkombinationer Statistiska profiler –Aktuell statistik –Aktuella gränsvärden Attacksignaturer –Senaste versioner

Anders Ingeborn Lagring av information Arbetsminne Loggar Arkiv

Anders Ingeborn Åtgärder Larm –E-post, personsökare, telefon Omkonfigurering av brandväggar etc –OPSEC m fl Avsluta sessioner ”Motattacker” –Falska avsändaradresser…? –Oetiskt

Anders Ingeborn Utblick verkligheten

Anders Ingeborn System på marknaden (1) ISS RealSecure –Kanske det mest sålda? Cisco NetRanger –Goda förutsättningar för integration i nätverkskomponenter Network Flight Recorder –”N-code” kraftfullt språk Axent NetProwler & Intruder Alert –Global skalbarhet

Anders Ingeborn System på marknaden (2) Network Associates CyberCop –Nätverksbaserat och datorbaserat i ett ”next generation” Computer Associates SessionWall –Framtida kombination med ”Neugents”? Naval Surface Warfare Center, Shadow –Öppen källkod för Unixsystem Tripwire –Ett av de äldsta datorbaserade systemen

Anders Ingeborn Dagens system Attacksignaturer –Ett par hundra olika attacker –Regelbundna uppdateringar Interoperabilitet –Ej för attacksignaturer –Med t ex brandväggar, men inte andra IDS Skalbarhet –Ett par hundra agenter per central

Anders Ingeborn Problem ”50 ways to defeat your IDS”, F. Cohen –Dela upp en attack – ”smygteknik” Använd olika IP-adresser Använd olika användarnamn –Döp om känsliga kommandon su –Skapa en stor mängd falsklarm fyll upp minne trötta ut administratörerna

Anders Ingeborn forts. problem ”Anti-IDS tactics”, Rain Forest Puppy –Dela upp ett kommando på flera paket 2-3 tecken per IP-paket –Förvräng kommandon så att IDS missar men offret förstår GET /index.html HTTP/1.0 GET /./././i%6e%64ex.%68t%6dl HTTP/1.0 Avvägning mellan snabbhet och smarthet...

Anders Ingeborn Spekulation om framtiden Uppsving för datorbaserad ID –Sessionskryptering –CyberCop Neurala nät –Kraftfullt mot nya attacker –Neugents Integration i nätverkskomponenter –Switchar mm

Anders Ingeborn forts. framtiden Interoperabilitet –Nätverkskomponenter –Attackdatabaser Skalbarheten förbättras –”Globalisering” ”Data warehousing and mining techniques” –Stora loggar och arkiv

Anders Ingeborn Mer information Böcker –Stephen Northcutt ”Network Intrusion Detection” (400:-) –Edward Amoroso ”Intrusion Detection” (500:-) –Rebecca Bace ”Intrusion Detection” (600:-)

Anders Ingeborn Forskning Chalmers, Erland Jonsson SRI International, Kalifornien

Anders Ingeborn Frågor?

Anders Ingeborn Slut!