Beruflich Dokumente
Kultur Dokumente
ntr-o reea
I.
Argumentul
Principiile
intruziunilor
II.
deteciei
preveniei
Aceast notificare, cunoscut sub numele de alert, survine prin mai multe metode: emailuri, pagini de rspuns, mesajele de pe interfaa cu utilizatorul sistemului, prin trap-urile de
tip SNMP( Simple Network Management Protocol) , mesaje syslog, ori programe i scripturi definite de utilizator. Un mesaj de notificare include de obicei doar informaii de baz
cu privire la un eveniment, administratorii trebuie s acceseze IDPS-ul pentru informaii
suplimentare; Unele IDPS-uri au posibilitatea de a-i schimba profilul de securitate atunci
cnd o nou ameninare este detectat. De exemplu, ar putea fi capabil s colecteze mai
multe informaii referitoare la o sesiune n special dup ce este detectat activitatea
malware n acea sesiune. Ar putea modifica, de asemenea, diverse setri atunci cnd
anumite alerte sunt declanate sau ce prioritate ar trebui asignat alertelor ulterioare
deteciei unei ameninri deosebit . Aciunile de rspuns iniiate n cazul deteciei unor
atacuri se grupeaz astfel:
Oprirea atacului fr vreo alt intervenie.Acest lucru ar putea fi realizat dup cum
urmeaz:
Terminarea conexiunii la reea sau a sesiunii de utilizator care este utilizat pentru
atac;
Blocarea accesului la int folosindu-se de adresa IP sau de un alt atribut al
atacatorului;
Blocarea oricrui acces la host-ul, serviciul, aplicaia sau orice alt resurs vizat.
Schimbarea mediului de securitate. IDPS-ul putea schimba configuraia altor
controale sau dispozitive de securitate pentru a ntrerupe un atac. Exemple comune
sunt reconfigurarea unui dispozitiv de reea (firewall, router, switch) pentru a bloca
accesul ctre atacator sau int, precum i modificarea unui firewall de tip hostbased pentru a bloca atacurile primite. Unele tehnologii pot provoca chiar instalarea
unor patch-uri pe un anume host n cazul n care se detecteaz c acesta are
vulnerabiliti;
Schimbarea coninutului atacului. Unele tehnologii pot elimina sau nlocui poriuni
maliioase ale unui atac pentru a-l face benign. Un exemplu simplu este eliminarea
unui fiier infectat ataat unui email i apoi s permit email-ului curat s
ajung la destinatar.Un exemplu mai complex este comportarea asemntoare a
unui proxy ce normalizeaz cererile primite, materializat prin ndeprtarea antetelor
pachetelor.Acest lucru poate cauza mpiedicarea unor diverse atacuri.
Un alt atribut al acestor tehnologii este faptul c acestea nu pot oferi o detecie
caracterizat de o acuratee maxim. Atunci cnd un IDPS identific n mod incorect ca
fiind ru intenionat o activitate benign, putem spune c a avut loc un fals pozitiv. Atunci
cnd un IDPS nu reuete s identifice o activitate malware, un rezultat de tip fals negativ a
avut loc.
Eliminare tuturor falsurilor pozitive i negative nu este posibil, n cele mai multe
cazuri reducerea unuia duce la apariia celuilalt. Multe organizaii aleg s scad apariiile
de falsuri negative, cu costul creteri falsurilor pozitive, fapt ce duce la detecia mai multor
evenimente periculoase, fcndu-se uz de mai multe resurse de analiz pentru a se face
diferena ntre evenimentele fals pozitive i cele malware. Modificarea configuraiei unui
IDPS pentru a mbunti precizia de detectare este cunoscut sub numele de tuning.
Cele mai multe tehnologii IDPS ofer funcionaliti ce combat utilizarea tehnicilor
comune de evaziune.Evaziunea reprezint modificarea formatului activitilor malware,
astfel nct nfiarea acestora se schimb, dar efectul rmne acelai. Atacatorii
folosesc tehnici de evaziune pentru a ncerca s previn detecia atacurilor realizat de
IDPS-uri.De exemplu,un atacator ar putea codifica caractere text ntr-un anume mod, tiind
c inta tie s interpreteze caracterele codificate, n sperana c orice IDPS de monitorizare
nu o face. Cele mai multe tehnologii IDPS pot depi tehnicile comune de evaziune prin
duplicarea unor procesri speciale efectuate de ctre inte.n cazul n care IDPS-ul poate
"vedea" activitatea n acelai mod n care o face inta, atunci tehnicile de evaziune vor fi
ineficiente n ncercarea de a ascunde atacurile.
Semnturi;
Anomalii
Analiza protocoalelor de tip stateful
Cele mai multe tehnologii IDPS utilizeaz metodologii de detecie multiple, fie
separat, fie integrate, pentru asigurarea unei detecii ct mai largi i mai precise.
Acest tip de detecie este foarte eficient n detectarea ameninrilor cunoscute, dar
n mare parte ineficient la detectarea ameninrilor necunoscute anterior, ameninrilor
deghizate de utilizarea unor tehnici de evaziune, i a multe variante de ameninri
cunoscute. De exemplu, n cazul n care un atacator a modificat malware-ul n exemplul
precedent pentru a utiliza un nume de "freepics2.exe", o semntur n cutarea lui
"freepics.exe" nu l-ar potrivi.
Se poate spune c este cea mai simpl metod de detectare, deoarece compar doar
unitatea curent de activitate, cum ar fi un pachet sau o intrare din loguri, cu o list de
semnturi utiliznd operatorii de comparare a irurilor de caractere. Tehnologiile de
detectare bazate pe semnturi nu au capacitatea de a ntelege reelele sau protocoale de tip
aplicaie i nu pot urmri i nelege starea comunicaiilor complexe. De exemplu, acestea
nu pot asocia o cerere cu rspunsul corespunztor. Le lipsete capacitatea de a-i aminti
cererilor anterioare la procesarea celei actuale. Aceast limitare mpiedic detectare
atacurilor formate din mai multe evenimente, n cazul n care nici unul din evenimentele nu
conine o indicaie clar a unui atac.
curente cu pragurile specifice din profil, cum ar fi detectarea momentului n care activitatea
web folosete mult mai mult lime de band dect este ateptat, alertnd apoi
administratorul.
II.3.3 Analiza protocoalelor de tip stateful
Unele forme de IDPS sunt mai mature dect altele pentru c au fost folosite mult
mai mult timp. Cele la nivel reea i unele forme la nivel de host sunt disponibile pe pia
de peste zece ani. Cele bazate pe analiza comportamental a reelei sunt o form oarecum
mai nou ce a evoluat din produsele create special pentru a detecta atacuri de tip DoS i din
produse dezvoltate pentru a monitoriza fluxurile de trafic n reelele interne. Tehnologiile
fr fir sunt un tip relativ nou, dezvoltat ca rspuns la popularitatea reelelor locale wireless
(WLAN) i a ameninrilor n cretere la adresa reele WLAN i clientilor WLAN.
II.5 Intruziunile
Intruziunile sunt unele dintre cele mai mari ameninri la adresa retelelor de
calculatoare i a sistemelor de calcul. Acestea exploateaz slbiciuni ale software-ului sau
ale configuratiei sistemului pentru a-l deteriora. Printre acetia regsim: viruii propriuzii, virui de macro i de email, cai troieni i viermi. De numele acestor tipuri de
ameninri se leag principalele unelte folosite de persoanele ru intenionate n demersul
lor de a obine date sensibile care pot fi valorificate n vreun fel.
9
Viruii sunt programe cod executabil numit uneori malware care se insereaz n
alt program executabil. Astfel, virusul se propag atunci cnd este executat programul
infectat. Virusul este pasiv deoarece are nevoie ca un utilizator sau un alt program s-l
lanseze i s execute programul infectat. nainte de acest eveniment, virusul rmne n
stare adormit. La activare codul este plasat n memoria central a calculatorului i i
ncepe execuia exact ca orice alt program.
De obicei, atunci cnd este activat, virusul i insereaz copii ale sale n cele mai
comune executabile pe care le poate gsi pe discul rigid al calculatorului victim, proces
numit auto-replicare. Programele infectate se rspndesc de obicei de la un calculator la
altul prin copii pe medii de stocare sau prin descrcarea de pe Internet.
Cel mai adesea utilizatorii schimb ntre ei documente, nu programe. Acestea pot fi
inta virusilor de macro i de e-mail. Macrodefiniiile executate de aplicaii cum sunt
Microsoft Word, Excel sau Outlook pot fi i ele infectate de virui. La deschiderea unui
document infectat virusul se execut n background, fr ca utilizatorul s observe. n mod
asemntor, exist virui care se pot ataa la e-mail. De ndat ce destinatarul deschide
coninutul unui mesaj infectat, virusul este executat. De cele mai multe ori, ncep s trimit
email-uri care conin copii ale lor fiecrui contact gsit n cartea de contacte a victimei.
Viruii de email pot cauza pagube mari infrastructurii de email a Internet prin
traficul enorm pe care l genereaz ca urmare a replicrii multiple. n unele cazuri au
provocat cderea serverelor de email care nu au rezistat volumului imens de trafic. Caii
troieni constituie un tip aparte de malware care deschide pori n sisteme pentru intrui.
Termenul de cal troian este utilizat pentru a descrie software care permite atacatorilor aflai
la distan s ia controlul sistemului de calcul, s descarce fiiere, s instaleze aplicaii, s
modifice fiiere i chiar s opreasc de tot sistemul. Caii troieni sunt programe instalate
fr cunotina ncrcturii ostile de ctre utilizatori n urma unei infectri a unui fiier sau
a unei aplicaii descrcate de pe Internet. Unul dintre cei mai faimoi cai troieni, Back
Orifice, este att de puternic nct a ajuns s fie considerat program de gestiune de la
distana a sistemelor de calcul. Viermii se pot replica fr intervenia utilizatorului. n timp
ce viruii sunt pasivi i au nevoie de intervenia utilizatorului pentru a se rula, viermii sunt
activi. Din cauza faptului c nu au nevoie de intervenia utilizatorului i se pot replica i
activa autonom, ei sunt mult mai periculoi. Acetia sunt programe care folosesc erorile de
programare (bug-uri) ale esurselor din reea pentru a se replica. Ei se pot inocula n
sistemele de calcul datorit erorilor din server, loc n care ncep s scaneze reeaua n
cutarea altor calculatoare pe care s le infecteze. Proliferarea unui vierme este uimitoare.
De exemplu, Code Red a avut nevoie de 15minute pentru a infecta mii de calculatoare i a
atacat chiar site-ul oficial al Casei Albe a SUA. Pe lng cutarea altor calculatoare pe care
s le infecteze, viermii pot cauza pagube prin atacarea reelei i a componentelor sale. Un
sondaj la nivel naional n SUA, sponsorizat de ctre CA Incorporated i de National Cyber
Security Alliance (NCSA) a artat c 83% dintre adulii care se implic n legturi sociale
prin reele de calculatoare au descrcat fiiere necunoscute, care le puteau expune PC-urile
la atacuri.
Cteva scopuri pentru care sunt folosite intruziunile sunt:
III.
Capabiliti de logare
ID-ul conexiunii sau al sesiunii (de obicei un numr consecutiv sau unic atribuit
rspunsuri;
III.1 Detecia
n cadrul acestui tip de IDPS sunt oferite capabiliti extinse i largi de detecie.
Cele mai multe produse folosesc o combinaie ntre detectare bazat pe semnturi, cea
bazat pe detecia anomaliilor i tehnicile analizei protocoalelor de tip stateful pentru a
efectua o analiz n profunzime a protocoalelor comune; organizaiile ar trebui s utilizeze
sistemele care utilizeaz o astfel de combinaie de tehnici. Metodele de detectie sunt strns
legate; un motor de analiz a protocoalelor de tip stateful ar putea mpri activitatea
analizat n solicitri i rspunsuri, fiecare parte fiind examinat pentru anomalii i
comparat cu semnturile activitilor cunoscut a fi ru intenionate.
11
III.2 Preventia
Sunt oferite diverse capacitati de prevenire, inclusiv urmatoarele( grupate in functie
de tipul de senzor):
Pasiv
ncheierea sesiunii TCP curente. Un senzor pasiv poate determina ncheierea unei
sesiune TCP existente prin trimiterea de pachete TCP cu flag RESET setat catre
ambele endpoint-uri; acest lucru este numit session sniping7.Senzorul face acest
lucru pentru a face s par c fiecare endpoint ncerc s termine conexiunea.
Scopul este acela ca unul dintre obiective s ncheie conexiunea nainte ca un atac
s reueasc. n multe cazuri ns, pachetele de resetare nu sunt primite la timp.De
asemenea, din cauza faptului c aceast metod este aplicabil doar pentru TCP, nu
poate fi folosit n cazul atacurilor bazate pe alte tipuri de pachete, incluznd UDP
sau ICMP. Metoda session sniping nu mai este larg utilizat din cauz noilor
metode mult mai eficiente.
Inline
12
13
Modificarea coninutului maliios. Dup cum este descris n seciunea 1.2, unii
senzori inline poate cura o parte dintr-un pachet, coninutul ru intenionat este
nlocuit cu un coninut benign, pachetele dezinfectate fiind trimise apoi la
destinaie.
Rularea unui program ter sau script. Se poate rula un script specificat de ctre
administrator cnd este detectat o anumit activitate malware. Acest lucru ar putea
declansa o actiune de prevenire dorita de catre administrator,cum ar fi
reconfigurarea altor dispozitive de securitate pentru a bloca respectiva activitate.
vedere tehnic, acestea ar putea fi considerate sisteme de nivel reea, deoarece acestea sunt
utilizate n mod inline pentru a monitoriza traficul n reea. Cu toate acestea, ele
monitorizeaz obicei activitate unui tip specific de aplicaie, cum ar fi un server web sau
server de baze de date; astfel, acestea sunt mai specializate dect un IDPS standard de nivel
reea. De asemenea, software-ul care ruleaz pe dispozitiv are adesea funcionaliti
identice sau similare cu cele ale agenilor bazai pe host. De aceea, IDPS-uri la nivel de
host ce folosesc aceste dispozitive sunt incluse n aceast seciune.
Fiecare agent este de obicei proiectat pentru a proteja una dintre urmtoarele:
Cele mai multe produse nu dispun de ageni pentru alte tipuri de host-uri(firewall-uri,
routere, switch-uri).
IV.1.1 Arhitectura de reea
15
16
Agenii IDPS bazai pe host sunt cel mai frecvent utilizai pentru protecia unor
host-uri critice, cum ar fi servere accesibile publicului i servere care conin informaii
sensibile. Agenii se pot plia pe orice tip de host deoarece sunt disponibili pentru diferite
sisteme de operare pentru servere i desktop / laptop, precum i pentru aplicaii specifice
serverelor. Unele organizaii i folosesc n primul rnd pentru a analiza activiti ce nu pot
fi monitorizateprin alte controale de securitate. De exemplu, senzori IDPS bazai pe reea
nu pot analiza activitatea n reele de comunicaii criptate, dar cei instalai pe endpoint-uri
pot vedea activitatea necriptat. Organizaiile ar trebui s ia n considerare urmtoarele
criterii suplimentare atunci cnd selecteaz locaiile de implementare:
V. Capabilitile de securitate
V.1. Logare
Logarea de date legat de evenimentele detectate este suportat i aici. Aceste date
pot fi utilizate pentru a confirma validitatea alertelor, pentru a investiga incidentele i a
corela evenimente cu cele din alte surse de logare. Cmpuri de date logate n mod obinuit
includ urmtoarele:
V.2. Detecia
Pentru detecia celor mai multor tipuri de activiti ru intenionate sunt folosite de
multe ori o combinaie ntre tehnica bazat pe semnturi pentru a identifica atacurile
cunoscute i cea bazat pe detectarea anomaliilor mpreun cu politici sau seturi de reguli
pentru a identifica atacurile necunoscute anterior.
17
Analiza codului. Agenii pot utiliza una sau mai multe din tehnicile de mai jos
pentru a identifica activiti maliioase prin analizarea ncercrilor de a executa cod.
Toate aceste tehnici sunt utile n oprirea malware-urilor i pot preveni i alte
atacuri, cum ar fi unele care ar permite accesul neautorizat, executarea de cod sau
escaladarea unor privilegii.
Ca orice alte tehnologii, i acest tip cauzeaz de multe ori falsuri pozitive i negativ.
Cu toate acestea, precizia de detecie constituie o problem mai mare n acest caz deoarece
multe din posibilele tehnici de detectare, cum ar fi analiza logurilor i monitorizarea
sistemului de fiiere nu au cunotine legate de contextul sub care au avut loc evenimentele
18
detectate. De exemplu, o gazd poate fi repornit, o nou aplicaie poate fi instalat sau un
sistem de fiiere poate fi nlocuit. Aceste aciuni ar putea fi realizate prin activiti ru
intenionate sau ar putea fi parte a funcionrii i intreinerii normale a gazdei.
Evenimentele n sine sunt detectate corect, dar natura lor, benigne sau maliioase, nu poate
fi ntotdeauna determinat fr un context suplimentar. Unele produse, n special cele
destinate desktop- urilor / laptop -urilor, cer utilizatorilor furnizarea contextului, dac o
aplicaie este actualizat sau nu de ctre utilizator. Dac acesta nu rspunde la solicitare
ntr-o anumit perioad de timp (de obicei cteva minute), agentul alege o aciune implicit
(permitere / refuzare).
Sistemele care utilizeaz combinaii de mai multe tehnici de detectare ar trebui s
fie, n general, capabile de a realiza o detecie mai precis dect produsele ce utilizeaz una
sau cteva tehnici. Deoarece fiecare tehnic poate monitoriza diferite aspecte ale unei
gazde, folosirea mai multor tehnici permite agenilor colectarea mai multor informaii
privind activitile ce au loc. Acest lucru ofer o imagine mai complet a evenimentelor, i
poate oferi, de asemenea, contextul suplimentar care poate fi de ajutor n evaluarea
inteniei anumitor evenimente.
ntrzieri n generarea alertelor. Dei agenii genereaz alerte n timp real pentru
cele mai multe tehnici de detectare, unele tehnici sunt utilizate periodic pentru a
identifica evenimentele care au avut loc deja. Astfel de tehnici pot fi aplicate numai
pe or sau chiar numai cteva ori pe zi, provocnd ntrzieri semnificative n
identificarea unor evenimente;
Utilizare resurselor gazdei. Spre deosebire de alte tehnologii, aceasta implic ageni
care ruleaz pe gazdele monitorizate. Aceti ageni pot consuma resurse
considerabile ale gazdei, resurse ce includ memoria intern, procesorul i discul.
Operaiunile agenilor, n special acele pene, pot provoca ncetiniri n fluxul
operaiunilor. Testarea i evaluarea resurselor este recomandat a fi realizat nainte
de o posibil instalare a unui IDPS;
19
V.2.4 Prevenia
Analiza traficului de reea. Acest lucru poate opri traficul de reea de intrare n a fi
prelucrat de ctre gazd i traficul de reea de ieire s prseasc gazda. Acest
lucru ar putea fi fcut pentru a opri atacurile specifice nivelelor reea /internet,
transport, sau aplicaie (i, n unele cazuri, atacuri ce includ protocoalele speficice
reelei wireless) sau pentru a opri utilizarea de aplicaii i protocoale neautorizate.
Analiza poate identifica fiiere malware ce sunt descrcate sau transferate i
preveni aceste fiiere n a fi introduse n mediul gazdei. Traficul de reea ar putea fi
dropat sau respins, iar firewall-ul personal al gazdei (care ar putea fi inclus n gent)
ar putea fi reconfigurat s evite traficul suplimentar legat de cel suspect. Analiza
traficului de reea este eficient n stoparea a multor atacuri cunoscute i
recunoscute anterior;
20
Curarea traficului de reea. Unii ageni, n special cei de tip appliance, pot
igieniza traficul de reea pe care l monitorizeaz. De exemplu, acesta ar putea aciona ca
un proxy i reconstrui fiecare cerere i rspuns ce este direcionat prin ea. Acest lucru poate
fi eficace la neutralizarea anumitor activiti neobinuite, n special n header-ul pachetului
i al protocoalelor aplicaie. Igienizare poate mpiedica atacurile de recunoatere lansate
asupra host-urilor sau poate scdea cantitatea de informaii legat de host care poate fi
achiziionat prin aceast metod. Exemplele includ ascunderea amprentelor sistemelor
de operare ale servelor i a mesajelor de eroare de aplicaie. Este posibil prevenia afirii
de informaii sensibile, cum ar fi numere de securitate social i numere de card de credit,
pe pagini web.
V. 3 Management
V.3.1 Implementare
21
24
VII . SNORT
VII.1 Privire de ansamblu
SNORT este cel mai cunoscut i folosit IDS/IPS OpenSource. A fost create de ctre
Martin Roesch n 1998. n prezent, este dezvoltat i comercializat de ctre compania
SourceFire.Acesta poate fi instalat i folosit gratuit, dar pentru acces imediat la regulile
certificate este necesar o plat anual. Totui, semnturile oficiale noi se pot downloada
gratis dup 30 de zile de la lansare, ceea ce pentru aplicaiile necritice este rezonabil.
Modul sniffer
La rulare exist multiple posibiliti de afiare, care pot fi rulate cu ajutorul
opiunilor din sintaxa aferent liniei de comand, descrise n tabelul de mai jos:
Optiune
Observatii
-v
-interactiv, afisarea
TCP/UDP/ICMP
-e
-d
Headere aplicatie
-a
-c
-i eth0
-d
-Rulare ca daemon
-q
doar
antetelor
25
Dac nu, Snort va iei cu un mesaj de eroare. Cnd se ruleaz n acest mod, este colectat
fiecare pachet ce este vzut i pus ntr-o ierarhie de tip director pe baza adresei IP din
pachete.
Dac este specificat doar opiunea l, se poate observa c Snort utilizeaz uneori adresa
endpoint-ului ca nume de director n care vor fi puse pachetele; uneori, se folosete adresa
gazdei.
Pentru a colecta pachetele ce in de reeaua intern aceasta trebuie specificat:
./snort -dev -l ./log -h 192.168.1.0/24
Aceast regul instruiete programul s afieze headerele specifice nivelului legturii de
date i aplicaie, precum i cele TCP / IP n directorul ./log, iar pachetele logate s fie
specifice clasei C de IP-uri 192.168.1.0. Toate pachetele ce vor veni vor fi logate n sub
directoare n directorul specificat ce vor avea ca nume adresele remote( non192.168.1.0)10.
n cazul unei reele de mare vitez sau pentru o logare a pachetelor mai compact pentru o
analiz ulterioar, este de luat n considerare logarea n mod binar. Acest mod logheaz
pachetele ntr-un format tcpdump ntr-un singur fiier n directorul de logare:
./snort -l ./log b
Se oberv schimbrile ce intervin aici. Nu trebuie specificat o reea deoarece modul binar
concentreaz ntr-un singur fiier, ceea ce elimin necesitatea de a i spune cum s
formateze structura directorulului de ieire. n plus, nu este nevoie de rularea interactiv
sau de specificarea opiunilor -d sau e, deoarece n modul binar ntregul pachet este logat,
nu doar seciuni din el. Tot ceea ce este de fcut pentru a plasa Snort n modul logger este
specificarea directorului de logare .
Dup ce pachetele au fost logate n binar, acestea pot fi citite cu orice sniffer care suport
formatul binar tcpdump (ex: tcpdump sau ethereal). Snort poate citi, de asemenea,
pachetele prin specificarea opiunii r.
Pachetele logate pot fi manipulate n nenumrate moduri prin rularea n modul logger sau
NIDS a Snort-ului n conjuncie cu interfa BPF, ce este disponibiln linie de comand.
De exemplu, dac se vrea doar vizualizarea pachetelelor ICMP din fiierul de log,
specificai pur i simplu un filtru BPF n linie de comand:
./snort -dvr packet.log icmp
Modulul NIDS
Un exemplu prin care se activeaz acest mod pentru a nu nregistra fiecare pachet este:
./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf
unde snort.conf este numele fiierului de configurare.Astfel vor fi aplicate regulile
configurate aici pe fiecare pachet pentru a se decide dac este necesar acionarea n vreun
fel bazndu-se pe seturile de reguli din fiier.Dac nu este specificat nici un director de
ieire, cel default este /var/log/snort.
26
Exist mai multe moduri disponibile de a configura ieirea Snort-ului n modul NIDS.
Logarea pachetelor i a alertelor este realizat n mod implicit prin caractere ASCII i sunt
logate n mod full .Mecanismul de alert full afieaz mesajul de alert mpreun cu
headerul
pachetelor. Exist mai multe alte moduri de ieire a alertelor disponibile n linia de
comand,
precum idou faciliti de logare.Modurile de alert sunt ceva mai complexe. Exist apte
moduri de alerte disponibile n linia de comand: complet (full), rapid, prin socket-uri,
consol, syslog, cmg sau de nici un fel.
VII.1.2 nelegerea standardului ieirii
Cnd Snort genereaz un mesaj de alert, acesta va arta n felul urmtor: [**] [116:56:1]
(snort_decoder): T/TCP Detected [**]
Primul numr reprezint GID-ul( Generator ID); specific user-ului ce component a
generat alerta. Pentru o list a acestor valori se poate consulta fiierul etc/generators din
sursa
Snort. n acest caz evenimentul a fost generat de component decode(116).
Al doilea numr este ID-ul Snort( uneori referit ca ID-ul semnturii).Pentru o list a SIDurilor de preprocesare se poate vizualiza fiierul etc/gen-msg.map.SID-urile regulilor sunt
scrise mpreun cu regulile. n acest caz 56 reprezint un eveniment de tip T / TCP.
Al treilea numr este numrul de revizie.Acest numr este n principiu folosit la scrierea
semnturilor, la fiecare modificare a regulii acest numr ar trebui incrementat.
VII.1.3 Schimbarea ordinii alertelor
ncepnd cu versiunea 2.3.0 Snort a nglobat oficial un IPS numit SNORT inline.
SNORT inline obine pachetele de la iptables n loc de libpcap, iar apoi pachetele prinse cu
regulile lui SNORT sunt retransmise lui iptables pentru DROP (dropare + logare), EJECT
(dropare + logare + anunare surs) sau SDROP (dropare fr logare) sau PASS.
Pentru putea folosi SNORT_inline trebuie recompilat iptables, iar SNORT trebuie compilat
cu opiunea enable-inline. Recompilarea iptables presupune recompilarea kernelului
Linux. Pentru a rula sub acest mod se speficic opiunea Qn momentul lansrii n
execuie a programului.
VII.2 Configurare
VII.2.1 Include
var
portvar
ipvar
28
IP-urile pot fi specificate individual, ntr-o lista, sub forma unui bloc CIDR sau sub
orice combinaie ntre acestea trei. Dac suportul IPv6 este activ, variabilele IP ar trebui
specificate folosind ipvar n locul tipului var.Folosirea lui var pentru variabile IP este nc
permis pentru compatibilitate, dar n viitor nu va mai fi suportat.
IP-urile individuale, listele de IP i blocurile CIDR pot fi negate cu !. Urmtorul exemplu
va include IP-ul 1.1.1.1 i pe cele de la 2.2.2.0 pn la 2.2.2.255, cu excepia 2.2.2.2 i .
2.2.3.[1.1.1.1,2.2.2.0/24, ![2.2.2.2,2.2.2.3] Ordinea elementelor listei nu conteaz.
Elementul anypoate fi folosit pentru a include orice IP; expresia !any nu este permis.De
asemenea, intervalele IP negate ce sunt mai generale dect intervale IP ce nu sunt negate,
nu sunt permise. Urmtoarele constituie nite interval valide de variabile i liste IP:
ipvar EXAMPLE [1.1.1.1,2.2.2.0/24,![2.2.2.2,2.2.2.3]] alert tcp $EXAMPLE any -> any
any (msg:"Example"; sid:1;) alert tcp [1.0.0.0/8,!1.1.1.0/24] any -> any any
(msg:"Example";sid:2;)
Exemplele ce urmeaz redau nite utilizri invalide:
contradicii logice:
negaii fr sens:
deframentarea IP : frag3;
29
normalizarea pachetelor;
date sensibile;
specifice unor diverse protocoale: http, smtp, ftp, ssh ,pop, etc;
VII .3 Frag3
Preprocesorul frag3 este un modul de defragmentare IP de tip target-based.Este
folosit pentru urmtoarele scopuri:
Frag3 folosete structurile date de tip sfxhashi liste nlnuite pentru managementul intern
al datelor, lucru ce permite atingerea unor performane predictibile i deterministice n
orice mediu, lucru ce ajut la gestionarea mediilor fragmentate. Analiza target-based este
un concept relativ nou n detectare la nivel reea a intruziunilor. Ideea de baz este aceea de
a modela obiectivele actuale ale reelei n locul modelrii doar a protocoalelor i cutrii de
atacuri n cadrul acestora. Cnd stivele IP sunt scrise pentru diferite sisteme de operare,
acestea sunt de obicei implementate de ctre persoane care citesc RFC-uri care apoi scriu
propria interpretare a ceea ce RFC-ul prezint n cod. Din pcate, exist ambiguiti n
definiiile date de RFC-uri pentru unele din condiiile de margine ce pot s apar, iar cnd
acest lucru se ntmpl diferite persoane pun n aplicare anumite aspecte ale stivei IP
proprii ntr-un mod diferit. Pentru un IDS aceasta este o problem mare.
ntr-un mediu n care atacatorul poate determina ce stil de defragmentare IP este
utilizat de o anumit int, atacatorul poate ncerca s fragmenteze pachetele n aa fel nct
inta le va pune mpreun ntr-o anumit manier pe care sistemele pasive ce ncearc s
modeleze traficulgazd trebuie s ghiceasc n ce fel respectiva gazd se va ocup de
suprapuneri i cum le va retransmite. n cazul n care atacatorul are mai multe informaii
despre host-urile int dect IDS, este posibil s treac de controalele acestuia.De aici a
pornit idea acestui tip de analiz.
VII.3.1 sfPortscan
Acest modul dezvoltat de Sourcefire, este conceput pentru a detecta prima faz a
unui atac asupra unei reele: recunoaterea.n acest faz, un atacator determin ce tipuri de
protocoale sau servicii sunt folosite de un anumit host. Acesta este momentul tradiional n
care are loc o scanare a porturilor. Aceast faz presupune c atacatorul nu are nici o
informaie legat de protocoalele sau serviciile suportate de ctre int, n caz contrar,
aceast etap nu ar mai fi necesar. Din cauza acestui fapt, cele mai multe cereri trimise de
ctreatacator vor fi negative(ceea ce nseamn c porturile sunt nchise). n natura unor
reele de comunicaii legitime, rspunsurile negative din partea host-urilor sunt rare, dar i
mai rare sunt apariiile multiple ale acestora ntr-un interval scurt de timp. Obiectivul
principal al acestei detecii este de a detecta i urmri aceste rspunsuri negative.
30
HTTP Inspect este un decodor generic http pentru aplicaiile utilizatorului. Avnd
un buffer de date, acesta va decoda acest buffer, va gsi cmpurile http pe care apoi le va
normaliza. Inspecteaz att cererile client, cti rspunsurile server. Versiunea actual are
n vedere doar prelucrarea fr stri. Acest lucru nseamn c inspectarea se face pachet cu
pachet, existnd posibilitatea unei nelri n cazul n care pachetele nu sunt reasamblate.
Aceasta funcioneaz bine atunci cnd exist un alt modul ce se ocup cu reasamblarea, dar
exist limitri n analiza protocolului. Versiunile viitoare vor aveaun modul de procesare de
tip stateful. Acest modul permite utilizatorului o configuraie variat. Utilizatorii pot
configura serverele http individuale cu o varietate deopiuni, lucru care ar trebui s permit
utilizatorului emularea oricrui tip de server de web. Exist dou zone deconfigurare:
global i server.
VII.3.3 Preprocesorul de date sensibile
Octombrie 23, 2008: Sourcefire a lansat un set de reguli care s protejeze mpotriva
a tuturo exploatrilorvulnerabilitii MS08-067;
31
Noiembrie 29, 2008: Viermele Conficker.B este identificat. Aceasta variant este
corect identificat de semnturile Snort iniiale.
Martie 4, 2009: Viermele Conficker.C este identificat. Aceasta variant este corect
identificat de semnturile Snort iniiale.
Aciunea regulii
Este indicat astfel Snort-ului ce trebuie s fac n eventualitatea unui pachet ce ndeplinete
condiiile impuse. Exist 5 aciuni implicate definite:alertare, logare, permitere, activare i
intrarea n modul dinamic.n plus, dac este rulat n mod inline, sunt disponibile alte 3
tipuri:dropare, respingere i blocare fr log.
Protocoale
Exist patru protocoale pe care Snort-ul le analizeaz pentru comportament suspicios:
TCP
UDP
ICMP
IP
Pe viitor se urmrete i implementarea altora: ARP, IGRP, GRE, OSPF, RIP, IPX, etc.
32
Adresele IP
Snort-ul nu are nici un mecanism de cutare a host-urilor dup adrese IP n fiierul
de configurare. Le regsim n antetul regulilor. Sunt formate dintr-o adres numeric de tip
IP i un bloc CIDR ce indic masca de reea ce trebuie folosit n cazul inspectrii
pachetelor.Pot fi specificate i sub forma unei liste sau folosind operatorul any pentru a
defini orice adres .
Porturile
Numerele de port pot fi specificate n mai multe moduri, prin any, definiii statice sau
intervale, folosind orice valoare dorit din intervalul 0 65535.
Operatorul direcie
Se folosete pentru a identifica direcia pachetului pe care regula trebuie aplicat( IP-ul i
portul surs sunt considerate a fi cele din stnga, iar cele destinaie, n dreapta
operatorului).
Este folosit sub dou forme: ->, unidirecional( de la surs la destinaie) i <>, bidirecional
cnd se iau n considerare spre analiz perechi de adrese IP i port. Nu poate fi folosit sub
forma <-.
VII .3.6 Opiunile unei reguli
content:"|E8C0FFFFFF|/bin"; activates:1; \
34
35
VIII. 2 Iptables
Pentru a implementa Snort-ul inline eficient la nivel de host este nevoie de
configurarea serviciului iptables. Acesta reprezint un serviciu furnizat de firewall-ul din
cadrul kernel-ului de Linux. Permite administratorului de sistem definirea unor tabele ce
conin lanuri de reguli pentru tratarea pachetelor de reea.Fiecare tabel este asociat unui
alt tip de procesare. Pachetele sunt procesate secvenial, pe msur ce parcurg lanurile. O
regul dintr-un lan poate provoca un salt ctre alt lan, lucru ce se poate repeta n limita
nivelului de mbricare dorit Ipptables folosete n mod implicit trei tabele :
1. Filter - este responsabil cu filtrarea pachetelor.
Are trei lanuri predefinite n care se pot declara reguli de politic firewall:
36
37
mai mare dect 1024. Alt problema ar fi n modul cum transfera FTP datele, ori folosete
modulAsci ori folosete modul Binar pentru transfer.
FTP-ul poate funciona sub dou moduri:
Pasiv
1. Clientul iniiaz transferul de peun port mai mare de 1024 pe portul 21 al serverului, iar
serverul i va spune c va ncepe s asculte peun port peste 1024.
2. Clientul se va conecta la acel nou port pecare va asculta serverul i va transmite sau
primi date. Astfel datele ce trebuiesc filtratevor circula ntre client i server pe porturi TCP
mai mari dect 1024.
Activ
1. Clientul iniiaz transferul de pe un port P mai mare dect 1024, n care i spune serverlui c va ascult pe un port P+1.
2. Serverul va iniia apoi transferul folosind portul 20 conectndu-se la client pe noul port
pe care acesta ascult. Acest mod are probleme cu echipamentele de firewall-ul i cu
protocolul NAT,muli clieni aflndu-se n spatele altor echipamente de reea( router,
firewall, proxy), serverul neavnd posibilitatea s ajung niciodat el. Datele pot fi
transferateatt binar ct i n mod asci de aceea cea mai bun regul este s fie verificat tot
traficul raw pe portul 20 Problema vine atunci cnd vrem s transmitem i date care nu
sunt text, cum ar fi un executabil. Pentru a trece peste acest problem a aprut
IME(Multipurpose Internet Mail Extensions) n care sunt definitenite standarde pentru
codarea binar-text, cea mai popular astfel de codare fiind base64. Astfel oricemail cu
attachment binar, va fi transformat n base64 i apoi trimis.
Un mail cu attachment binar va fi encodat n base64 i pus n corpul mail-lui, delimitat de
niste tag-uri:
------=_NextPart_000_0061_01CC1B24.17E136F0
Content-Type: application/octet-stream;
name="test_snort.bin"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="test_snort.bin"
ADQAdG9wc2VjcmV0AAA=
------=_NextPart_000_0061_01CC1B24.17E136F0
Base64 folosete doar 64 de caractere, astfel 6 bii per caracter sunt de ajuns n loc de 8biti
ct sefolosesc n mod normal. Astfel un string trebuie scris n mod binar, mprit n buci
de cte 6 bii, iapoi folosind tabelul de conversie Base64,se transform fiecare calup de
cte 6 bii n caractere.
Simple Mail Transfer Protocol (SMTP) este protocolul standard folosit pentru transmisia
mesajelorelectronice. Serverele de mail comunic prin acest protocol pentru a transmite
39
VIII .7 Logarea
Snort a fost configurat s realizeze urmatorul tip de logare:
Syslog : alertele sunt trimise sub acest standard ctre un server specializat; Syslogul este un standard folosit pentru logarea datelor.Acesta separ software-ul ce a
generat mesajul de sistemul ce l stocheaz i l analizeaz.
40
IX .
Concluzii
41
X . Bibliografie
1. K. Scarfone, P. Hoffman, Guide to Intrusion Detection and Prevention Systems(
IDPS), NIST Special Publication 800-94, 2007;
2. S. Northcutt, J.Novak, Network Intrusion Detection, 3rd Edition, New Riders
Publishing, 2002;
3. Snort Users Manual 2.9.4, Noiembrie 2012;
4. Sandip A. Kale, Prof.S.V. Kulkarni, Data Leakage Detection: A Survey;
5. Andrew S. Tanenbaum, Reele de calculatoare, ediia a treia, Computer Press
Agora, 1998;
6. SourceFire VRT WhitePaper: SourceFire, SourceFire VRT WhitePaper, 2011
7. http://snort.org/
8. http://nsslabs.com
9. http://www.wikipedia.org/
10. http://tutoriale.eajutor.ro/unix-linux/tutorial-iptables-firewall-linux-comenzi-debaza.html
42
CUPRINS
Sistem de detecie i prevenire a intruziunilor ntr-o..........................................2
reea................................................................................................................... 2
I.
Argumentul.................................................................................................. 3
II.
IX . Concluzii.................................................................................................... 41
X . Bibliografie................................................................................................ 42
45