Presentation laddar. Vänta.

Presentation laddar. Vänta.

Anders Ingeborn Intrångsdetektering Teori och praktik.

Liknande presentationer


En presentation över ämnet: "Anders Ingeborn Intrångsdetektering Teori och praktik."— Presentationens avskrift:

1 Anders Ingeborn Intrångsdetektering Teori och praktik

2 Anders Ingeborn Vem är jag? Civ.ing. Datateknik, KTH Säkerhetsinriktningen 1998 Säkerhetskonsult Infosec 2000 –penetrationstester –simulerade attacker

3 Anders Ingeborn Dagens föreläsning Bakgrund Intrångsdetektering Utblick verkligheten Framtiden Mer information

4 Anders Ingeborn Bakgrund

5 Anders Ingeborn Vad är folk rädda för? Intrång, industrispionage ”Personliga integriteten” ”Hackers” som byter ut webbsidor Blockerade e-handelsplatser

6 Anders Ingeborn Vanlig situation idag Anti-virus –Inkommande e-post –Filer Brandväggar –Skalskydd, attacker utifrån –Ofta ganska statiskt

7 Anders Ingeborn Vad saknas? Attacker från ”insidan” Allmän övervakning –Trafikflöden –Beteende

8 Anders Ingeborn Intrångsdetektering

9 Anders Ingeborn Vilken funktion fyller ett IDS? ”Intelligent” övervakning Grundläggande modell –Samla information –Analysera Upptäcka intrång –Vidta åtgärder Larma Avbryta Samla bevis

10 Anders Ingeborn Beståndsdelar i ett IDS Sensorer Analysverktyg Kunskapsdatabaser Övervakningsarkiv Larm Administrationsverktyg, gränssnitt ”CIDF” (Common Intrusion Detection Framework, DARPA, USA)

11 Anders Ingeborn Vad är ett ”intrång”? Vad vill vi detektera? –Studier SRI International U. Lindqvist & E. Jonsson, Chalmers –Bra sammanfattning E. Amoroso

12 Anders Ingeborn Exempel Upprepade misslyckanden –Antal, intervall Felskrivna kommandon –Protokoll Motsägelsefulla användaraktiviteter –root Motsägelsefulla trafikmönster –Falska adresser

13 Anders Ingeborn forts. exempel Avvikelser i rutiner –Backup-tagning Onormal aktivitet –Tid, adress, användaridentitet mm Otillåtna trafikflöden –”Misstänkta” strängar mm /etc/shadow.mp3

14 Anders Ingeborn Samla in information Allmänna systemloggar –Inloggningar –Omstarter –Tjänster Avlyssning –Sensorer / agenter Nätverksbaserad Datorbaserad

15 Anders Ingeborn Nätverksbaserad insamling Sensorer –Anslutna till nätverkssegment utan egen adress, ”osynliga” –Integrerade i nätverkskomponenter Bra –Belastar inga andra datorer –Kan upptäcka pågående attack Dåligt –Missar attacker som ej går över nätet –Sessionskryptering

16 Anders Ingeborn Datorbaserad insamling Övervakningsmoduler på varje dator Bra –Kan se resultatet av en attack –Inte känsligt för sessionskryptering –Ingen extra hårdvara Dåligt –Belastar värddatorn –Värddatorn får ej slås ut –Olika operativsystem

17 Anders Ingeborn Principer för analys Förbjudet –Enkla regler –Signaturer –Kända attacker / missbruk ”Onormalt” –Givna parametrar att bevaka –Allmänna avvikelser från det normala –Nya attacker

18 Anders Ingeborn Att identifiera kända attacker Enkla regler –Jfr. brandvägg –Enkelt och effektivt, men inte så kraftfullt Mönstermatchning / attacksignaturer –Jfr. anti-virus –Kräver uppdateringar Dynamiska associationer –T ex inloggningsförsök –Korrelation med tidigare aktiviteter?

19 Anders Ingeborn Att identifiera ”nya” attacker Statistiska profiler –Paket riktning, tid, antal mm –Sessioner riktning, tid, datamängd mm –Användare (användaridentitet) tid, datum, adress, beteende mm –Tjänster (öppna portar) tid, datum, adress mm

20 Anders Ingeborn Neurala nät –Idag mest i teorin –Invärden Vilka parametrar? Översättning? –Utvärden Vad vill man ha ut? Klassificering? Larm? Många falsklarm, all ”ny” aktivitet är inte fientlig –Inlärning Isolerad eller verklig? ”Lagom” träningsmängd? Överinlärning...

21 Anders Ingeborn Var skall analysen ske? Distribuerat i varje sensor –Sensorerna blir för komplexa –Uppdatering av information Via central eller alla till alla Centralt –Kommunikation till central sårbar Separat kanal (dubbla nätverkskort)

22 Anders Ingeborn Överföring av information Push –Vad betyder ingen information? Ingen attack eller utslagen sensor –Regelbundna livstecken Pull –Långa intervall Missade attacker Realtid? –Korta intervall Mycket merarbete

23 Anders Ingeborn Kunskapsdatabaser Strängar och teckenkombinationer Statistiska profiler –Aktuell statistik –Aktuella gränsvärden Attacksignaturer –Senaste versioner

24 Anders Ingeborn Lagring av information Arbetsminne Loggar Arkiv

25 Anders Ingeborn Åtgärder Larm –E-post, personsökare, telefon Omkonfigurering av brandväggar etc –OPSEC m fl Avsluta sessioner ”Motattacker” –Falska avsändaradresser…? –Oetiskt

26 Anders Ingeborn Utblick verkligheten

27 Anders Ingeborn System på marknaden (1) ISS RealSecure –Kanske det mest sålda? Cisco NetRanger –Goda förutsättningar för integration i nätverkskomponenter Network Flight Recorder –”N-code” kraftfullt språk Axent NetProwler & Intruder Alert –Global skalbarhet

28 Anders Ingeborn System på marknaden (2) Network Associates CyberCop –Nätverksbaserat och datorbaserat i ett ”next generation” Computer Associates SessionWall –Framtida kombination med ”Neugents”? Naval Surface Warfare Center, Shadow –Öppen källkod för Unixsystem Tripwire –Ett av de äldsta datorbaserade systemen

29 Anders Ingeborn Dagens system Attacksignaturer –Ett par hundra olika attacker –Regelbundna uppdateringar Interoperabilitet –Ej för attacksignaturer –Med t ex brandväggar, men inte andra IDS Skalbarhet –Ett par hundra agenter per central

30 Anders Ingeborn Problem ”50 ways to defeat your IDS”, F. Cohen –Dela upp en attack – ”smygteknik” Använd olika IP-adresser Använd olika användarnamn –Döp om känsliga kommandon su –Skapa en stor mängd falsklarm fyll upp minne trötta ut administratörerna

31 Anders Ingeborn forts. problem ”Anti-IDS tactics”, Rain Forest Puppy –Dela upp ett kommando på flera paket 2-3 tecken per IP-paket –Förvräng kommandon så att IDS missar men offret förstår GET /index.html HTTP/1.0 GET /./././i%6e%64ex.%68t%6dl HTTP/1.0 Avvägning mellan snabbhet och smarthet...

32 Anders Ingeborn Spekulation om framtiden Uppsving för datorbaserad ID –Sessionskryptering –CyberCop Neurala nät –Kraftfullt mot nya attacker –Neugents Integration i nätverkskomponenter –Switchar mm

33 Anders Ingeborn forts. framtiden Interoperabilitet –Nätverkskomponenter –Attackdatabaser Skalbarheten förbättras –”Globalisering” ”Data warehousing and mining techniques” –Stora loggar och arkiv

34 Anders Ingeborn Mer information Böcker –Stephen Northcutt ”Network Intrusion Detection” (400:-) –Edward Amoroso ”Intrusion Detection” (500:-) –Rebecca Bace ”Intrusion Detection” (600:-)

35 Anders Ingeborn Forskning Chalmers, Erland Jonsson SRI International, Kalifornien

36 Anders Ingeborn Frågor?

37 Anders Ingeborn Slut!


Ladda ner ppt "Anders Ingeborn Intrångsdetektering Teori och praktik."

Liknande presentationer


Google-annonser