Sistemul de Asigurare a Retelelor de Calculatoare
Descrierea generală rețelei de calculatoare
1. DESCRIEREA ȘI CLASIFICAREA SISTEMELOR CÎT ȘI PROBLEMELE DE DETECȚIE ȘI PREVENIRE A INTRUZIUNILOR DIN REȚEA
1.1 Descrierea generală rețelei de calculatoare
În ultimele două decenii am asistat la o evoluție spectaculoasă a rețelelor de calculatoare, acest
lucru determinând dezvoltarea unor noi tehnologii de rețea care să poată oferi viteze din ce în ce
mai ridicate, precum și performanțe crescute de calitate a serviciilor.
A fost parcursă o cale lungă de la proiectul de cercetare ce urmărea conectarea unor baze militare
americane printr-o legătură de date și casa IP din San Jose, o casă în care fiecare mic dispozitiv
casnic, de la aragaz și frigider până la televizor, pot fi controlate ușor la distanță printr-o interfață web. Odată cu trecerea timpului aria de folosire a rețelelor s-a extins treptat, transformându-se
dintr-un subiect de speculații și romane SF în anii '70 și '80 într-orealitate cotidiană. Zilnic
folosim telefonia mobilă, fără să ne gândim că este o rețea de date în spatele acestui serviciu.
Televiziunea a fost regândită pentru a folosi avantajele noilor tehnologii din rețelele de calculatoare, astfel că multe țări au un serviciu de televiziune integral digitală. Jocurile de
calculator au schimbat modul de folosire a timpului liber la începutul anilor '90, iar rețelele de
calculatoare au transformat jocurile de rețea într-una dintre cele mai populare forme de petrecere
a timpului liber.
1.1.2 Clasificarea rețelelor de calculatoare
Termenul de rețea de calculatoare este adesea folosit pentru a sublinia noțiunea de conectivitate, și nu pe cea de calculator, pentru că multe dintre tehnologiile tratate în cărțile de rețele nu se referă doar la PC-uri sau la mainframe-uri, ci la un mediu mult mai general ce include agende electronice, imprimante, dar și telefoane sau televizoare. Totuși, datorită multitudinii de soluții disponibile, precum și datorită libertății de alegere oferite utilizatorilor, rețelele de PC-uri sunt cel mai adesea referite prin termenul de rețele de calculatoare. Numărul mare de producători de soluții de rețea precum și complexitatea domeniului au generat un volum foarte mare de clasificări ale rețelelor de calculatoare. Cu toate acestea există trei criterii ce se regăsesc în toate prezentările rețelelor de calculatoare: tehnologia de transmisie folosită, modul de acces la mediu și dimensiunea rețelei. Din punct de vedere al tehnologiei folosite, se deosebesc două mari categorii: rețele cu difuzare și rețele punct-la-punct. Prima categorie, cea a rețelelor bazate pe difuzare, are drept principală caracteristică asigurarea unui mediu comun la care să aibă acces toate dispozitivele din rețea. Acest mediu comun se traduce prin constrângerea ca oricare dintre mesajele trimise de un membru al acesui tip de rețea să poată fi recepționat de toți ceilalți membri din rețea. Astfel, implementarea unei rețele bazate pe difuzare presupune și asigurarea unui mecanism de identificare atât a celui ce a trimis, cât și a destinatarului. În plus, acest tip de rețea, trimițând mesajul tuturor membrilor din rețea, va forța fiecare stație să recepționeze mesajul și apoi să decidă dacă respectivul mesaj îi este sau nu destinat. Asta înseamnă consum de bandă și de resurse interne. Cu toate acestea, soluțiile bazate pe rețelele cu difuzare sunt foarte adesea mult mai ușor de implementat, acest lucru explicând popularitatea lor. Pentru a pune într-o perspectivă mai largă eficiența comunicării prin difuzare trebuie să observăm că multe dintre interacțiunile noastre cotidiene au la bază forme de comunicare cu difuzare. Astfel, când comunicăm cu un grup de oameni folosim nume pentru a defini cui adresăm mesajele, acest lucru neîmpiedicându-I pe cei din jur să audă mesajul.Un alt avantaj semnificativ al rețelelor cu difuzare este posibilitatea trimiterii mesajelor către toți membrii rețelei sau numai către un grup de membri, aceste tipuri de comunicare fiind definite de mecanismul de adresare. Forme ale acestor tipuri de comunicare pot fi întâlnite nu numai în lumea calculatoarelor, ci și în jurul nostru. De exemplu, anuțurile făcute într-o gară, cum ar fi:
„Trenul accelerat 1415, în direcția Iași pleacă peste 5 minute'' nu sunt adresate tut
uror celor ce le aud, ci doar pasagerilor respectivului tren. Tot în gară pot fi întâlnite și mesaje adresate tuturor persoanelor, de exemplu: „Fumatul intezis!''.
Rețelele de tip punct-la-punct sunt alcătuite din perechi de mașini care comunică între el
e. Un exemplu îl constituie o firmă care are două locații conectate între ele prin fibră optică (direct, nu prin intermediul unui provider). Accesul la mediu se referă la un set de reguli pentru a permite accesul tuturor stațiilor la mediul comun. Imaginați-vă o oră cu niște elevi de clasa I: când învățătoarea întreabă ceva, toți se agită cu mâinile în sus să răspundă, însă nu poate răspunde decât un singur elev odată. Trebuie găsită o metodă de a acorda fiecărui elev un pic de timp în care să răspundă, sau, revenind la rețelele noastre, de a aloca fiecărei stații o cuantă de timp în care să transmită. Această alocare poate fi de 3 tipuri: alocare statică (TDMA, FDMA), dinamică (Token Ring/Bus), aleatoare (CSMA, CSMA/CD). În cazul alocării statice, fiecăre
i stații sau fiecărui modul i se alocă o cuantă de timp (în cazul TDMA-Time Division Multiple Access) sau o bandă de frecvență (FDMA -Frequency Division Multiple Access). Această alocare este statică, în sensul că dacă jumătate din stații nu transmit, cuantele alocate lor nu sunt reutilizate. În cazul alocării dinamice, se alocă pe rând o cuantă de timp stațiilor care vor să transmită. De exemplu, în cazul tehnologiilor de tip TokenPassing, există o secvență de biți, un mesaj de fapt, numit jeton. Acest jeton permite stației care îl deține să transmită ce vrea. După ce a terminat de transmis, dă drumul la jeton care se "plimbă" pe rețea până ajunge la următoarea stație. Dacă aceasta are ceva de transmis, ia jetonul; dacă nu, nu îl cedează și jetonul merge
mai departe la următoarea stație. Când ajunge la o stație care are de transmis, jetonul este preluat de acea stație, după care se începe transmisia. În cazul alocării aleatoare, fiecare stație procedează astfel: ascultă să vadă dacă nu cumva altă stație transmite în acel moment. Dacă da, așteaptă până când nu mai transmite nimeni. După ce aude că e "liniște", se apucă de transmis. Fiecare stație procedează exact la fel, nu există stații preferențiale, toate au drept egal de a începe transmisia. Există, evident, riscul ca două stații să asculte simultan și când nimeni nu mai transmite, să înceapă ambele transmisia în același timp. În acest caz, mesajele celor două stații se "ciocnesc" pe fir, dând naștere unei coliziuni. Despre tratarea acestor coliziuni vom vorbi mai în detaliu în capitolul 3. Un alt criteriu pentru clasificarea rețelelor este mărimea lor. Deși aici există mai multe categorii de rețele, vom prezenta în continuare cea mai simplă împărțire a rețelelor în funcție de mărimea lor: LAN (Local Area Network) și WAN (Wide Area Network)
Rețelele locale, numite și LAN-uri, sunt rețele private localizate într-o singură clădire sau într
-un campus de cel mult câțiva kilometri. Un exemplu bun este o rețea de bloc, în care doi sau mai mulți vecini pun mână de la mână, cumpără cablu și un hub și își "leagă" toate calculatoarele din acel bloc în rețea. O rețea larg răspândită geografic se mai numește și WAN și acoperă deseori o țară sau un continent. Dacă vreți să vă imaginați mai bine ce înseamnă o legătură
de WAN, gândiți-vă la o rețea care leagă Franța de Statele Unite peste (sau pe sub, mai exact) Atlantic. Această rețea aparține de obicei unei companii de telefonie sau unui furnizor de servicii Internet (ISP -Internet Service Provider). Clienții se conectează la această mare rețea folosind
echipamente speciale și plătind o taxă lunară ISP-ului. Datorită distanțelor uriașe, nu mai este
posibilă instalarea unei rețele proprii de către persoane fizice sau de firme mici sau mijlocii așa
cum era cazul LAN-urilor. LAN-urile și WAN-urile nu se exclud reciproc. Imaginați-vă o firmă
mixtă româno-americană, cu 2 sedii (unul în România și unul în SUA) și câte 100 de angajați în
fiecare sediu. În cadrul celor două sedii vor instala o rețea locală (LAN) care va fi proprietatea
firmei și care va interconecta toți angajații din interiorul unui sediu, singurele costuri fiind cel al
instalării inițiale și cel al întreținerii (angajează un om pentru a avea grijă de rețeaua instalată).
Însă, pentru a interconecta cele două sedii, e nevoie de un contract cu un furnizor de servicii (ISP). Acesta are deja o infrastructură construită, cu alte cuvinte are deja o rețea de tip WAN. În
schimbul unei taxe lunare, firma mixtă utilizează serviciile rețelei WAN a ISP-ului, cu alte cuvinte conectează rețeaua sa LAN la rețeaua mare WAN. Un alt tip de rețele, uneori tratat
separat, îl reprezintă rețelele metropolitane (MAN -Metropolitan Area Network) care acoperă un oraș. Am ales să tratăm acest tip de rețele la categoria WAN deoarece sunt foarte multe semănări între cele două, dintre care amintim: rețeaua metropolitană aparține unui furnizor de servicii, ccesul la această rețea se face prin intermediul unui contract cu furnizorul de servicii.
1.1.3 Descrierea protocoalelor
Un protocol este un set de reguli care guvernează modul în care două dispozitive schimbă
informație într-o rețea și asigură coerența comunicației. Să considerăm de exemplu un client de
e-mail, prin intermediul căruia trimitem și citim e-mail-uri. Acest client trebuie să respecte
protocolul SMTP (Simple Mail Transfer Protocol) pentru a putea trimite mail. De ce? Pentru că,
de exemplu, acest protocol, acest set de reguli de fapt, specifică faptul că în antetul mesajului
trebuie specificat destinatarul. Dacă un client de mail nu respectă această specificație, atunci
serverul de mail la care ajunge mesajul nu va ști cui să-l trimită mai departe. Desigur, acest
exemplu este extrem de simplu; ideea pe care trebuie să o rețineți este că nerespectarea
specificațiilor unor protocoale face imposibilă funcționarea unei anumite părți, sau aplicații de
rețea. Aceste protocoale sunt standardizate de anumite organizații despre care vom discuta în
secțiunile viitoare.
1.1.4 Topologii de rețele. Topologii fizice și logice
În funcție de nevoile de comunicare și de cerințele impuse, s-au dezvoltat mai multe topologii de
rețea. Topologia unei rețele se referă la structura acesteia, la modul de așezare al nodurilor rețelei, precum și la logica prin care acestea comunică. Topologiile se pot împărți în două categorii: topologii fizice și topologii logice. Cele fizice tratează aspectul spațial și organizarea
fizică a stațiilor din rețea și a cablurilor, pe când cele logice se referă la modul în care se
realizează comunicarea în rețea, la modul în care datele circulă între stații. Dintre tipurile de topologii existente, menționăm: stea, stea extinsă, magistrală (bus), inel, mesh, etc. Acestea se referă atât la topologiile fizice, cât și la cele logice.
Vom menționa în continuare câteva din cele mai utilizate tehnologii de acce
s la mediu, împreună cu topologiile pe care acestea le folosesc. Vom trata aceste tehnologii mai detaliat în capitolele care urmează, cu explicații mai amănunțite asupra modului de funcționare.
1.1.5 Descrierea unei rețele locale
Un LAN este o rețea care acoperă o zonă geografică restrânsă, cum ar fi la domiciliu, birou, sau o clădire. Rețelele LAN curente sunt bazate pe tehnologia Ethernet. De exemplu, o bibliotecă va avea o conexiune prin fir sau de tip Wireless LAN pentru a interconecta dispozitive locale (ex.: imprimante, servere) și pentru a accesa Internetul. Toate calculatoarele din bibliotecă sunt conectate prin fir de rețea de categoria 5, numit UTP CAT5 cable, rulează protocolul IEEE 802.3 printr-un sistem de dispozitive interconectate care eventual se conectează și la Internet. Cablurile care duc spre server sunt de tipul numit UTP CAT5e enhanced cable; ele suportă protocolul IEEE 802.3 la o viteză de 1 Gbit/s. În exemplul din dreapta rețeaua a fost construită în așa fel încât calculatoarele angajaților bibliotecii din partea dreptă a imaginii pot accesa imprimanta color, înregistrările despre cărțile împrumutate, rețeaua academică și Internetul. Toți utilizatorii pot accesa Internetul, și catalogul bibliotecii. Fiecare grup din rețea poate accesa imprimanta sa locală. În rest, imprimantele nu sunt accesibile din afara grupului respectiv. Toate dispozitivele interconectate trebuie să folosească nivelul 3 network layer din modelul de referință OSI, fiindcă în acest exemplu este vorba de mai multe subrețele (cu culori diferite). Subrețelele din interiorul bibliotecii au viteza de numai 10/100 Mbit/s, conexiune Ethernet pînă la utilizatorul final, și Gigabit Ethernet către ruter-ul principal, care poate fi numit și "layer 3 switch", fiindcă el are numai interfață Ethernet și trebuie să "înțeleagă" IP. Mai corect ruterele se numesc: "ruter de acces" (ruterul de sus este un ruter de distribuire care conectează la Internet), și "ruter al rețelei academice" – accesat de utilizator.
În prezent tehnologia Ethernet sau și alte tehnologii LAN conforme standardului IEEE 802.3 operează la viteze de peste 10 Mbit/s. Aceasta este rata de transfer teoretică maximă. IEEE are însă proiecte de dezvoltare a standardelor de 40 și chiar 100 Gbit/s.
Fig. 1.1 Topologie de rețea
1.1.6 Clasifiacrea securității interne al rețelelor de calculatoare
Fiind un domeniu complex, au fost create domenii de diviziune pentru a putea face administrarea mai facilă. Acesta împărțire permite profesionistilor o abordare mai precisă în privința instruirii, cercetării și diviziuni muncii în acest domeniu. Sunt 12 domenii ale securității rețelelor specificate de International Organization for Standardization (ISO)/International Electrotechnical Commission(IEC):
Evaluarea Riscului e primul pas în administrarea riscului și determină valoarea cantitativă și calitativă a riscului legat de o situație specifică sau o amnințare cunoscută;
Politica de Securitate este un document care tratează măsurile coercitive și comportamentul membrilor unei organizații și specifică cum vor fi accesate datele, ce date sunt accesibile și cui;
Organizarea Securității Informației e un model de guvernare elaborat de o organizatie pentru securitatea informației
Administrarea Bunurilor reprezintă un inventar potrivit unei scheme clasificate pentru bunurile informaționale
Securitatea Resurselor Umane defineste procedurile de securitate privind angajarea, detașarea și părăsirea de către un angajat a organizației din care va face, face sau a făcut parte
Securitatea Fizica și a Mediului descrie măsurile de protectie pentru centrele de date din cadrul unei organizații
Administrarea Comunicațiilor și Operațiunilor descrie controalele de securitate pentru rețele și sisteme
Controlul Accesului priveste restricțiile aplicate accesului direct la rețea, sisteme, aplicații și date
Achiziția, Dezvoltarea și Păstrarea Sistemelor Informatice definește aplicarea măsurilor de securitate în aplicații
Administrarea Incidentelor de Securitate a Informației tratează cum anticipează și răspunde sistemul la breșele de securitate
Administrarea Continuității Afacerii descrie mîsurile de protecție, întreținere și recuperare a proceselor critice pentru afacere și sisteme
Conformitatea descrie procesul de asigurare a conformității cu politicile de securitate a informației, standarde și reguli
Aceste 12 domenii au fost create pentru a servi ca bază comună pentru dezvoltarea de standarde și practici de securitate eficiente și pentru a da încredere activităților desfășurate între organizații.
Tot pe criterii de eficiență în abordare și usurință în învațare, atacurile de securitate la adresa rețelelor sunt împartite cu carater general în: recunoaștere, acces și de imposibilitate onorări cererii(DoS).
1.2.1 Metodele de securizare
Elemente
Securitatea retelelor are ca scop protejarea retelelor si a aplicatiilor de retea împotriva unor asemenea atacuri. Pentru a realiza acest lucru, companiile abordează securitatea retelelor creând o politică de securitate si, pe baza acestei politici, o arhitectură de securitate a retelelor.Această arhitectură trebuie să ia în considerare următoarele elemente de securitate a retelei:
in primul rând, trebuie să cunoasteti identitatea persoanelor prezente în retea si tipul de acces care le este permis.
in al doilea rând, accesul la aplicatiile de retea, la datele si la serviciile critice trebuie să fie controlat astfel încât numai utilizatorii si informatiile legitime să poate trece prin retea. Acest aspect este deseori denumit securitatea perimetrului.
Confidentialitatea datelor sau conectivitatea securizată a retelei pot fi realizate prin implementarea Retelelor Private Virtuale sau VPN, care permit companiilor să îsi extindă reteaua securizată a companiei către birouri aflate la distantă, lucrători mobili sau parteneri extranet.
Tehnologiile de criptare asigură că datele care circulă printrun VPN nu pot fi interceptate sau citite de receptori neautorizati.
Instrumente de monitorizare a securitătii permit monitorizarea, recunoasterea si testarea vulnerabilitătilor în infrastructura a retelei, astfel încât să poata fi rezolvate înainte ca intrusii să le exploateze.
În final, pe măsură ce retelele cresc în mărime si complexitate, este necesară folosirea unor instrumente de management al politicilor de securitate, care pot administra centralizat elementele de securitate mentionate mai sus.
AAA
Cadrul folosit pentru a controla accesul la retelele de calculatoare este cunoscut de obicei ca AAA, numit si Triplu A, care înseamnă Autentificare, Autorizare si Accounting (Contabilizare).
Autentificarea se referă la metoda de identificare a utilizatorilor prin pasi cum ar fi login si dialog cu parolă. În esentă, autentificarea verifică “cine esti”.
Autorizarea reprezintă verificarea a ceea ce îi este permis utilizatorului să opereze în retea. Această permisiune poate varia de la o autorizare unică la un nivel specific de autorizare pentru fiecare serviciu de retea.
Contabilizarea oferă posibilitatea de a urmări serviciile pe care le accesează utilizatorii, la fel ca si cantitatea de resurse din retea pe care le consumă acestia. Contabilizarea ajută la monitorizarea securitătii si verifică “ce ai făcut” în retea.
Triplu A se bazează de obicei pe protocoale cum ar fi RADIUS, TACACS+ si Kerberos, pentru a administra functiile sale de securitate.
Securitatea perimetrului
Numai utilizatorilor si informatiilor legitime le este permis accesul în retea. Acesta este realizat prin solutii de securitate a perimetrului, cum ar fi: liste de control al accesului si firewalluri.
Înainte ca un utilizator să primească acces la o retea, componentele retelei, cum sunt routerele sau serverele de acces, decid dacă traficul în retea care vine de la computerul sau reteaua utilizatorului respectiv este transmis mai departe sau blocat. Această decizie se bazează pe listele de control al accesului sau liste de acces.
Un firewall este o solutie specifică hardware sau software care restrictionează accesul la anumite resurse ale retelei si permite numai trecerea traficului autorizat. Un firewall poate proteja totodată reteaua împotriva atacurilor denialofservice. Aceste atacuri nu oferă intrusilor accesul la anumite date, dar blochează resursele informatice, trimitândule cantităti mari de date si, prin urmare, împiedicând utilizatorii legitimi să acceseze aplicatiile.
Confidentialitatea datelor
Informatiile unor compani pot fi protejate împotriva accesului neautorizat. Asadar, capacitatea de a oferi comunicare autentificată si confidentială la cerere este crucială.
Tehnologia VPN oferă asemenea conexiuni private, separând datele în “tuneluri”. În acest mod, o retea privată poate fi creată prin retele publice cum ar fi Internetul, folosind protocoale ca Generic Routing Incapsulation (GRE) sau Layer 2 Tunneling Protocol, pe scurt L2TP.
Pentru a oferi protectia datelor pe care le transportă, echipamentele hardware si software VPN sustin tehnologia de criptare. Tot traficul care circulă printrun tunel între două puncte întrun VPN este criptat.
Uneori, separarea datelor folosind tehnologii de tunneling oferă confidentialitate eficientă, de exemplu în cadrul retelei locale . Deseori însă, cerintele suplimentare de confidentialitate necesită protectie mai mare, de exemplu prin folosirea unor tehnologii sau protocoale de criptare digitale ca IPSec.
IPSec
IPSec, sau protocolul de securitate IP, este un cadru de standarde deschise pentru asigurarea comunicatiilor private securizate pe Internet. IPSec asigură confidentialitatea, integritatea si autenticitatea comunicatiilor de date printro retea publică, fiind o componentă tehnică cheie pentru o solutie de securitate totală.
Acest protocol poate rezolva amenintările de securitate din infrastructura de retea, fără a cere modificări costisitoare ale gazdei si aplicatiilor. IPSec oferă criptare si autentificare la nivelul de retea IP. Deoarece pachetele criptate arată ca pachete IP obisnuite, ele pot fi redirectionate usor către o retea IP, ca Internetul, exact ca pachetele IP obisnuite. Singurele dispozitive care cunosc criptarea sunt punctele finale.
IPSec utilizează diferite tehnologii existente, cum sunt criptarea DES si certificatele digitale.
Criptare si decriptare
Tehnologia de criptare asigură că mesajele nu sunt interceptate sau citite de altcineva decât destinatarul autorizat.
Criptarea este folosită pentru a proteja date care sunt transportate printro retea publică, si foloseste algoritmi matematici avansati pentru a cifra mesajele si documentele atasate. Există mai multe tipuri de algoritmi de criptare, dar unii sunt mai siguri decât altii. În cei mai multi algoritmi, datele originale sunt criptate folosind o anumită cheie de criptare, iar computerul destinatar sau utilizatorul pot descifra mesajul folosind o cheie de decriptare specifică.
Algoritmii de criptare ca DES, PGP sau SSL determină construirea si schimbarea acestor chei.
1.2.2 Aspectele securizării unui sistem
Importanta aspectelor de securitate în retelele de calculatoare a crescut odată cu extinderea prelucrărilor electronice de date si a transmiterii acestora prin intermediul retelelor. În cazul operării asupra unor informații confidentiale, este important ca avantajele de partajare si comunicare aduse de retelele de calculatoare să fie sustinute de facilităti de securitate substantiale. Acest aspect este esential on conditiile on care retelele de calculatoare au ajuns să fie folosite inclusiv pentru realizarea de operatiuni bancare, cumpărături sau plata unor taxe.
În urma implementării unor mecanisme de securitate într-o retea de calculatoare, informatiile nu vor putea fi accesate sau interceptate de persoane neautorizate (curioase sau, eventual, chiar rău intentionate) si se va împiedica falsificarea informatiilor transmise sau utilizarea clandestină a anumitor servicii destinate unor categorii specifice de utilizatori ai retelelor.
Persoanele care atentează la securitatea retelelor pot apartine unor categorii diverse, comitând delicte mai mult sau mai putin grave: studenti care se amuză încercând să fure posta electronică a celorlalti, "hacker"-i care testează securitatea sistemelor sau urmăresc să obtină în mod clandestin anumite informatii, angajati care pretind că au atributii mai largi decât în realitate, accesând servicii care on mod normal le-ar fi interzise, sau fosti angajati care urmăresc să distrugă informatii ca o formă de răzbunare, oameni de afaceri care încearcă să descopere strategiile adversarilor, persoane care realizează fraude financiare (furtul numerelor de identificare a cărtilor de credit, transferuri bancare ilegale etc.), spioni militari sau industriali care oncearcă să descopere secretele / strategiile adversarilor, sau chiar teroristi care fură secrete strategice.
În conditiile în care pot exista interese atât de numeroase de "spargere" a unei retele, este evident că proiectantii resurselor hard si soft ale acesteia trebuie să ia măsuri de protectie serioase împotriva unor tentative rău intentionate. Metode de protectie care pot stopa "inamici" accidentali se pot dovedi inutile sau cu un impact foarte redus asupra unor adversari redutabili – dedicati si cu posibilitгti materiale considerabile.
Problemele de asigurare a securitгtii retelelor pot fi grupate on urmгtoarele domenii interdependente:
confidentialiatea se referă la asigurarea accesului la informatie doar pentru utilizatorii autorizati si ompiedicarea accesului pentru persoanele neautorizate;
integritatea se referă la asigurarea consistentei informatiilor (on cazul transmiterii unui mesaj prin retea, integritatea se referг la protectia împotriva unor tentative de falsificare a mesajului);
autentificarea asigură determinarea identitătii persoanei cu care se comunică (aspect foarte important on cazul schimbului de informatii confidentiale sau al unor mesaje în care identitatea transmitătorului este esentială);
ne-repudierea se referă la asumarea responsabilitătii unor mesaje sau comenzi, la autenticitatea lor. Acest aspect este foarte important on cazul contractelor realizate între firme prin intermediul mesajelor electronice: de exemplu, un contract / comandă cu o valoare foarte mare nu trebuie sг poatг fi ulterior repudiat(ă) de una din părti (s-ar putea sustine, în mod fraudulos, că întelegerea initială se referea la o sumă mult mai mică).
Aspectele de securitate enumerate anterior se regгsesc, într-o oarecare măsură, si în sistemele traditionale de comunicatii: de exemplu, posta trebuie să asigure integritatea si confidentialitatea scrisorilor pe care le transportг. În cele mai multe situatii, se cere un document original si nu o fotocopie. Acest lucru este evident on serviciile bancare. În mesajele electronice însă, distinctia dintre un original si o copie nu este deloc evidentă.
Procedeele de autentificare sunt foarte răspândite si ele: recunoasterea fetelor, vocilor sau scrisului sau semnăturilor unor persoane pot fi încadrate on această categorie. Semnăturile si sigiliile sunt metode de autentificare folosite extrem de frecvent. Falsurile pot fi detectate de cгtre experti on grafologie prin analiza scrisului si chiar a hвrtiei folosite. Evident, aceste metode nu sunt disponibile electronic si trebuie gгsite alte solutii valabile.
Dintr-un punct de vedere mai pragmatic, implementarea unor mecanisme de securitate în retelele de calculatoare de arie largă, în particular – Internet-ul, priveste rezolvarea următoarele aspecte :
bombardarea cu mesaje – asa numitul spam – trimiterea de mesaje nedorite, de obicei cu un continut comercial.
Acest fenomen este neplгcut on cazul unui numгr mare de mesaje publicitare nedorite si poate avea efecte mai grave on cazul invadгrii intentionate cu mesaje ("flood"), uzual cu un continut nesemnificativ. Pentru utilizatorii de Internet conectati prin intermediul uni modem, numгrul mare de mesaje are ca efect cresterea perioadei necesare pentru "descгrcarea" postei electronice si deci un cost de conectare mai ridicat.
Există programe de postг electronică care permit vizualizarea antetelor mesajelor primite onainte ca acestea sг fie aduse pe calculatorul local, selectarea explicitг a mesajelor care se doresc transferate si stergerea celorlalte. On plus, programele de e-mail pot oncorpora facilitгti de blocare a mesajelor de tip "spam" prin descrierea de cгtre utilizator a unor actiuni specifice de aplicat asupra mesajelor, on functie de anumite cuvinte cheie sau de adresele (listele de adrese) de provenientг.
rularea unui cod (program) dгunгtor, adesea de tip virus – acesta poate fi un program Java sau ActiveX, respectiv un script JavaScript, VBScript etc. ;
Asemenea programe sunt on general blocate de navigatoarele moderne dar au ajuns sг se rгspвndeascг ca fisiere atasate mesajelor de mail, un caz renumit on acest sens fiind cel al virusului "Love Letter" (care deterioreazг fisiere de tip sunet si imagine) si mutantilor lui, mai distructivi decвt prima versiune.
În general marile firme care produc navigatoare testeazг riguros riscurile impuse de programele dгunгtoare rulate de pe site-uri web, uneori create cu intentii distructive, si intervin on general prin versiuni superioare imediat ce un astfel de risc a fost descoperit si corectat. On plus, cea mai mare parte a programelor de navigare permit utilizarea unor filtre specifice pe baza cгrora sг se decidг dacг un anumit program va fi rulat sau nu, si cu ce restrictii de securitate (decizia se realizeazг on general pe baza "oncrederii" indicate on mod explicit de utilizator). O altг solutie la aceastг problemг va fi prezentatг ulterior.
infectarea cu virusi specifici anumitor aplicatii – se previne prin instalarea unor programe antivirus care detecteazг virusii, deviruseazг fisierele infectate si pot bloca accesul la fisierele care nu pot fi "dezinfectate". On acest sens, este importantг devirusarea fisierelor transferate de pe retea sau atasate mesajelor de mail, mai ales dacг contin cod sursг sau executabil, onainte de a le deschide / executa.
accesarea prin retea a calculatorului unui anumit utilizator si "atacul" asupra acestuia.
La nivelul protocoalelor de retea, protejarea accesului la un calculator sau la o retea de calculatoare se realizeazг prin mecanisme de tip fire-wall, prin comenzi specifice; acestea pot fi utilizate si on sens invers, pentru a bloca accesul unui calculator sau a unei retele de calculatoare la anumite facilitгti din Internet.
interceptarea datelor on tranzit si eventual modificarea acestora – snooping. Datele se considerг interceptate atunci cвnd altcineva decвt destinatarul lor le primeste.
On Internet, datele se transmit dintr-un router on altul fărг a fi (uzual) protejate. Routerele pot fi programate pentru a intercepta, eventual chiar modifica datele on tranzit. Realizarea unei astfel de operatii este destul de dificilг, necesitвnd cunostinte speciale de programare on retele si Internet, dar existг numeroase programe (de tip “hacker”) care pot fi utilizate on aceste scopuri, ceea ce duce la cresterea riscului de interceptare a datelor. On paragraful Caracteristici ale criptografiei moderne se va discuta modul on care se poate preveniri interceptarea informatiilor transmise prin aplicarea unor algoritmi de codificare a datelor.
Transmisia protejatг a datelor trebuie sг garanteze faptul cг doar destinatarul primeste si citeste datele trimise si cг acestea nu au fost modificate pe parcurs (datele primite sunt identice cu cele trimise). Modificarea datelor s-ar putea realiza on mod intentionat, de cгtre o persoanг care atenteazг la securitatea retelei sau printr-o transmisie defectuoasг.
expedierea de mesaje cu o identitate falsг, expeditorul impersonвnd pe altcineva (pretinde cг mesajul a fost trimis de la o altг adresг de postг electronicг)? spoofing. Aceastг problemă se revolvă prin implementarea unor mecanisme de autentificare a expeditorului.
Se poate remarca faptul cг problemele ridicate la punctele 3 si 4 sunt riscuri generice, specifice pentru utilizatorii care fac schimb de fisiere si respectiv pentru toti cei care sunt conectati la o retea de calculatoare – localг sau de arie largг. Problemele de interceptare si autentificare, cele mai importante din punctul de vedere al utilizatorilor obisnuiti, sunt rezolvate prin aplicarea unor tehnici de codificare, dupг cum se va vedea on paragraful Pentru asigurarea securitгtii retelei este importantг implementarea unor mecanisme specifice pornind de la nivelul fizic (protectia fizicг a liniilor de transmisie ), continuвnd cu proceduri de blocare a accesului la nivelul retelei (fire-wall), pвnг la aplicarea unor tehnici de codificare a datelor (criptare), metodг specificг pentru protectia comunicгrii ontre procesele de tip aplicatie care ruleazг pe diverse calculatoare din retea.
Împiedicarea interceptгrii fizice este on general costisitoare si dificilг; ea se poate realiza mai facil pentru anumite tipuri de medii (de exemplu, detectarea interceptгrilor pe fibre optice este mai simplг decвt pentru cablurile cu fire de cupru). De aceea, se preferг implementarea unor mecanisme de asigurare a securitгtii la nivel logic, prin tehnici de codificare / criptare a datelor transmise care urmгresc transformarea mesajelor astfel oncвt sг fie ontelese numai de destinatar; aceste tehnici devin mijlocul principal de protectie a retelelor.
1.2.3 Securitatea informațională
Potențialul societății informaționale (impactul instaurării erei informatice constituie pentru epocamodernă ceea ce au însemnat cronologic pentru omenire, descoperirea focului, fierului, petroluluietc) este în continuă creștere datorită dezvoltării tehnologice și a căilor de acces multiple. În acestcontext, desfășurarea în bune condiții a activității securității sistemelor informatice impuneexistența unui sistem IT funcționabil. Managementul securității sistemelor IT constituie un factor hotărâtor in buna desfășurare a activității unei companii, pentru asigurarea protecției datelor și aefectuării de tranzacții electronice în condițiile în care activitatea celor mai multe instituții,întreprinderi depinde în proporție de circa 67 % de propriul lor sistem informatic. Se pot enumera printre principalele mijloace tehnice implementate de întreprinderile societății moderne a căror activitate nu se poate desfășura optim fără un sistem informatic bine pus la punct: programeantivirus, salvare a datelor, instruire referitoare la importanța implementării și urmăririi măsurilor de securitate.Societatea informațională impune:• reglementarea legilor și drepturilor pentru dezvoltarea comerțului electronic;• îmbunătățirea productivității și calității vieții.
Securitatea informației se definește ca capacitatea sistemului de prelucrare a informației de aasigura în anumită perioadă de timp a posibilității de executare a cerințelor stabilite după mărimea probabilității realizării evenimentelor, manifestate în:-exodul informației;-modificarea sau pierderea de date, ce prezintă anumită valoare pentru deținător.Cauzele acestor evenimente pot fi:-impactul acțiunilor cu caracter stocastic ale omului;-impactul acțiunilor premeditate ale omului în formă de acces nesancționat în sistem.Asigurarea securității datelor presupune realizarea a patru obiective:
1. Confidențialitatea, uneori numită secretizare, își propune să interzică accesul neautorizat al persoanelor la informația care nu le este destinată. Confidențialitatea reprezintă țelul suprem alsecurității calculatoarelor. Pentru asigurarea confidențialității trebuie știut care sunt informațiilecare trebuie protejate și cine trebuie sau cine nu trebuie să aibă acces la ele. Aceasta presupune săexiste mecanisme de protecție a informațiilor care sunt stocate în calculatoare și care sunttransferate în rețea între calculatoare. În Internet, confidențialitatea capătă noi dimensiuni subforma unor măsuri de control al confidențialității. Țările dezvoltate, Statele Unite, Canada,Australia, Japonia etc., au reglementat prin lege controlul confidențialității.
2. Integritatea, uneori numită acuratețe, își propune ca datele stocate în calculator să nu poată fialterate sau să nu poată fi modificate decât de persoane autorizate. Prin alterarea datelor se înțelegeatât modificarea voit malițioasă, cât și distrugerea acestora. Dar datele pot fi alterate, sau chiar pierdute/distruse, nu numai ca urmare a unei acțiuni răuvoitoare, ci și ca urmare a unei erorihardware, erori software, erori umane sau a unei erori a sistemelor de securitate. În acest caz seimpune să existe un plan de recuperare și refacere a datelor(existența unei copii de siguranță).
3. Disponibilitatea își propune ca datele stocate în calculatoare să poată să fie accesate de persoanele autorizate. Utilizatorii trebuie să aibă acces doar la datele care le sunt destinate. Se potdistinge aici două categorii de utilizatori, cu drepturi de acces diferite: administratorii de sistem șiutilizatorii generali, excepție făcând sistemele de operare care echipează calculatoarele desktop.Orice utilizator general va putea să schimbe configurările de securitate ale calculatorului mergând până acolo încât să le anuleze.
4. Nerepudierea, termen recent apărut în literatura de specialitate, își propune să confirmedestinatarului unui mesaj electronic faptul că acest mesaj este scris și trimis de persoana care pretinde că l-a trimis. În acest fel se asigură încrederea părților. Expeditorul nu poate să nege că nua trimis el mesajul. Nerepudierea stă la baza semnăturilor digitale, asigurând autenticitateaacestora, în noua piață a comerțului electronic (E-Commerce).Obiectele critice (supuse securitizării, controlului sau/ și gestiunii în condiții de siguranță):-sisteme de telecomunicație;-sisteme bancare;-stații atomice;-sisteme de gestiune a transportului aerian și rutier;-sisteme de prelucrare și păstrare a informației secrete și confidențiale.Proprietățile de siguranță a sistemelor critice:-integritatea sistemului, care se definește ca capacitatea mijloacelor tehnice de calcul sau asistemului automatizat de a asigura constanța (invariabilitatea) formei și a calității informației încondițiile de deformare stocastică sau de amenințare cu distrugerea;-inofensivitatea informației, care se definește castarea de protejare zascișcennostia informației, prelucrate cu ajutorul mijloacelor tehnice de calcul sau sistemelor automatizate de la amenințăriinterne sau externe.Deși în societatea informațională varietatea crimelor este mare (și va fi și maimare pe măsurăce tehnologia va progresa), următoarele fapte infracționalesunt cele ai frecvente: frauda informatică falsul informatic, fapte ceprejudiciază datele sau programele pentru calculator, sabotajul informaticaccesul neautorizat, intercepția neautorizat, ăpirateria software, pionajul informatic, defăimarea prin Internet distribuirea de materiale obscene înInternet, spam-ul.Noiunile-cheie: accesul neautorizat reprezintă accesul fără drept la un sistem sau la o rețea informatică prin violarea regulilor de securitate;
confidențialitatea datelor atribut al datelor ce caracterizeazăaccesul lorrestrâns pentru un anumit grup de utilizatori;
criminalitatea informatică – totalitatea infracțiunilor comise cu ajutorulcalculatorului sau în mediul informatizat;
documentul electronic (înscris electronic), reprezintăo colecție de date înformat electronic între care existărelații logice și funcționale, care redaulitere, cifre sau orice alte caractere cu semnificație inteligibilă, destinate a ficitite prin mijlocirea unui program informatic sau a altui procedeu similar;
dreptul comer țului electronic
totalitatea reglementărilor legale referitoare la activitățile comerciale care implică transferul de date și realizarea unei tranzacții financiare prin intermediul unei rețele electronice precum internetul;
drept informatic sau dreptul societății informaționale
este un sistem unitar dereguli juridice aplicabile tehnologiilor specifice informaticii, precum și aceleipărți a comunicației aferente transferului de informație în rețelele informatice;
-dreptul securității informatice
– totalitatea regulilor juridice care se refera la asigurarea securității sistemelor informatice și a datelor și informațiilor cuprinse în aceste sisteme față de evenimente care le-ar putea afectaintegralitatea;
-frauda informatică – reprezintă intrarea, alterarea, ștergerea sausupraimprimarea de date sau de programe pentru calculator sau orice altă ingerință într-un tratament informatic care îi influențează rezultatul, cauzând chiar prin aceasta un prejudiciu economic sau material în intenția de a obține un avantaj economic nelegitim pentru sine sau pentru altul;
-func ționarea licită a bazei sau băncii de date se referăla modalitatea legală în virtutea căreia organizația proprietar sau deținător a bazei de dateprestează servicii informatice;
-intercepția neautorizată, constă în intercepția fără drept și cu mijloacetehnice de comunica ții cu destinație, cu proveniență și în interiorul unui system sau rețele informatice;
– pirateria software constă în reproducerea, difuzarea sau comunicarea înpublic, fără drept, a unui program pentru calculator, protejat de lege;
-sabotajul informatic, reprezintă intrarea, alterarea, ștergerea sausupraimprimarea de date sau de programe pentru calculator ori ingerința însisteme informatice cu intenția de a împiedica funcționarea unui sisteminformatic sau a unui sistem de telecomunicații;
-semnătura electronică, reprezintăo colecție de date în format electronicincorporate, atașate sau asociate unui înscris în format electronic cu intențiade a produce efecte juridice și care permite identificarea formală asemnatarului;
-spionajul informatic, constă în obținerea prin mijloace ilegitime saudivulgarea, transferul sau folosirea fără drept ori fără nici o altă justificarelegală a unui secret comercial sau industrial, în intenția de a cauza unprejudiciu economic persoanei care deține dreptul asupra secretului sau de a obține pentru sine ori pentru altul avantaje economice ilicite.
Vulnerabilitatea poate fi definit ca o slbiciune în ceea ce privește că procedurile de sistem, arhitectura sistemului, implementarea acestuia,controlul intern, precum și alte cauze care pot fi exploatate pentru a trece desistemele de securitate și a avea acces neautorizat la informaii. Orice calculator este vulnerabil la atacuri. Principalele vulnerabiliti în sistemele de calcul sunt: fizice;
1.2.4 Tipuri de atacuri și vulnerabilități
Există două cauze majore ce pot constitui amenințări pentru o rețea de calculatoare, chiar după ce a fost implementatăo politică de securitate corectă:
vulnerabilități (probleme cauzate de tehnologie)
configurare necorespunzătoare.
Vulnerabilitățile sunt probleme ale sistemelor de operare, protocoalelor TCP/IP, dispozitivelor de rețea prin care un atacator poate accesa rețeaua fără a respecta politica de securitate implementată.Chiar dacă vulnerabilitățile sunt problemele cele mai grave și mai greu de controlat, trebuie însă notat că cele mai multe problem apar datorită configurării incorecte sau definirii unei politici de securitate necorespunzătoare.
Atacurile asupra unei rețele de calculatoare pot fi clasificate în :
atacuri interne sau externe
atacuri structurate sau nestructurate.
Atacurile externe sunt efectuate din afara organizației (din punctul de vedere al rețelei). Atacurile interne sunt efectuate din rețeaua organizației.
Atacurile nestructurate sunt atacurile care sunt inițiate de indivizi neexperimentați ce utilizează exploit-uri disponibile pe Internet. Exploit-urile sunt programe ce exploatează vulnerabilitățile pentru a ocoli politica de securitate implementată într-o rețea.
Atacurile structurate sunt inițiate de indivizi mult mai bine motivațiși cu cunoștințe tehnice competente. Acești indivizi cunosc vulnerabilități de sistem și le pot folosi pentru a căpăta acces în rețea, pot detecta noi ulnerabilități de sistem și pot dezvolta cod și scripturi pentru a le exploata.
Un atac trece în general prin trei faze:
Faza de recunoaștere, faza de obținere a accesului – formată din două etape: una în care atacatorul obține acces în cadrul rețelei pe una din mașinile din rețea prin exploit-uri de la distanță și faza în care, dacă este cazul, obține acces privilegiat pe mașina respectivă cu ajutorul unor exploit-uri locale.
Faza în care sistemele compromise sunt folosite pentru a ataca alte rețele. (eventual)
Obținerea accesului
Una dintre cele mai sigure metode de obținere a accesului privilegiat este a sparge parola. Acest lucru presupune că atacatorul are deja acces pe o mașină din rețea și dorește acces privilegiat (root, Administrator). Deși un atac "brute force'' nu are cum să dea rezultate decât pe sistemele la care parolele sunt limitate la 6-7 caractere, există atacuri care se folosesc de unele particularități ale parolelor. S-a observat că majoritatea parolelor folosite se încadrează în anumite categorii, pentru a putea fi ușor ținute minte. Din această cauză există utilitare de spart parole bazate pe dicționare (Jack The Ripper).
Altă metodă de exploit-uri de la distanță este deturnarea unei conexiuni TCP (TCP session hijack). Ea constă în așteptarea ca un utilizator să se logheze pe sistem ce dorește să fie atacat, și apoi în trimiterea de pachete către portul pe care rulează serviciul, luând locul utilizatorului care s-a autentificat. Această metodă se folosește dacă se pot prezice numerele de secvență dintr-un pachet TCP. O variantă de deturnare de conexiuni TCP este man in the middle attack. In acest caz, atacatorul trebuie să aibă acces la o mașină pe care trece traficul dintre două entități A și B. In acest caz, atacatorul interceptează cererea de conexiune de la A la B și răspunde lui A, stabilind cu A o conexiune. Apoi stabilește și cu B o conexiune. Toate datele trimise de A vor fi apoi trimise lui B și invers. Astfel atacatorul are acces la convorbirea dintre A și B, chiar dacă traficul este criptat din punctul de vedere al lui A și B. IP spoofing este o metodă de atac, dar poate fi folosită și pentru a ascunde identitatea atacatorului sau pentru a lansa atacuri. Prin acest atac, pachetele TCP/IP sunt manipulate, falsificând adresa sursă. In acest mod atacatorul poate căpăta acces atribuindu-și o identitate (adresa de IP) care are autorizare să acceseze resursa atacată. Datorită falsificării adresei sursă a pachetului IP, atacatorul nu poate stabili decât o comunicație unidirecțională (presupunând că nu este prezent în rețeaua locală a mașinii atacate). Acest lucru face protocolul TCP nesusceptibil pentru asemenea atacuri. Există însă numeroase servicii UDP care pot fi exploatate cu acest tip de atac.
Virușii pot constitui metode de atac, atunci când poartă cu ei troieni. Troienii sunt programe simple, care deschid uși de acces pe sistemele infectate de virus.
O metodă diferită față de cele discutate până acum o reprezintă ingineria socială. Ea constă în aflarea de informații esențiale direct de la utilizatori.
3. Denial of Service (DoS)- faza în care sistemele compromise sunt folosite pentru a ataca alte rețele.
Atacurile de tipul denial of service (DoS) opresc sau încetinesc foarte mult funcționarea unor rețele, sisteme sau servicii. Ele sunt cauzate de un atacator care dorește să împiedice accesul utilizatorilor la resursele atacate. Atacatorul nu are nevoie să fi căpătat înainte acces pe calculatorul pe care dorește să efectueze atacul. Există multe posibilități prin care un atac DoS se poate manifesta. Efectul însă este același: se împiedică accesul persoanelor autorizate de a folosi serviciile de pe sistem prin utilizarea la maxim a resurselor sistemului de către atacator.
Exemplu de atac DoS local este un program care creează procese la infinit. Acest lucru va duce în cele din urmă la încetinirea sistemului, pentru că existând un număr foarte mare de procese create de atacator, probabilitatea ca acestea să se execute va fi foarte mare, iar procesele celorlalți utilizatori nu mai apucă să se execute.
Un alt tip de atac DoS local posibil este crearea unui număr limitat de procese (pentru că majoritatea sistemelor de operare moderne limitează numărul maxim de procese pe care un utilizator le poate crea), care alocă zone de memorie de dimensiuni mari și care accesează aceste zone aleator. Ideea acestui atac este de a forța sistemul de operare să lucreze cu swap-ul, încetinindu-l.
Există și atacuri DoS de la distanță – se bazează pe vulnerabilități ale SO sau aplicațiilor. Un exemplu este atacul cu date out of band, conceput pentru sistemele de operare Windows 95 și NT. Acest atac va determina sistemul de operare să se blocheze sau să se reseteze. Datele out of band sunt date care nu fac parte din fluxul normal de date schimbat între doi sockeți. Acest tip de date sunt trimise doar în cazuri speciale și au prioritate față de datele normale. Un exemplu de situație în care datele out of band sunt folositoare poate fi următorul: presupunem că avem o aplicație client – server ce implementează un protocol similar cu telnet. Astfel, între client și server se trimit comenzile, respectiv outputul acestora. Pentru a suporta dimensiuni variabile ale ecranului la client, în momentul în care acesta redimensionează fereastra se trimite serverului un mesaj out of band în care se specifică noile dimensiuni ale ecranului.
Atacul Ping of Death folosește pachete IP modificate care indică faptul că pachetul are mai multe date decât are de fapt. Acest atac determină blocarea sau resetarea mașinii pe sistemele care nu verifică acest lucru.
1.2.5 Atacuri DoS distribuite
Atacurile DoS distribuite sunt astfel concepute încât să satureze lărgimea de bandă pe legătura ce conectează rețeaua la Internet cu pachete de date trimise de atacator, astfel încât pachetele legitime nu mai pot fi trimise. Pentru a realiza acest lucru un atacator se folosește, direct sau indirect, de mai multe sisteme .
Un exemplu de astfel de atac este Smurf. Acesta începe prin a trimite un număr mare de mesaje ICMP de tip echo-request (sau ping) către adrese de broadcast, sperând că aceste pachete vor fi trimise unui întreg segment de rețea. De asemenea aceste pachete sunt falsificate pentru a avea ca adresă sursă adresa sistemului țintă. Dacă pachetul trece de dispozitivul de rutare, el va fi recepționat de către toate stațiile de pe un segment de rețea. Acestea vor răspunde cu un pachet de tip echo-reply către adresa falsă din pachet. Astfel, stațiile vor genera trafic către adresa specificată de atacator. Acest tip de atac poate fi ușor contracarat dacă pe ruter se dezactivează rutarea pachetelor de broadcast direcționat.
Un alt tip de atac distribuit se poate realiza cu pachetul de utilitare TFN2K (Tribe FloodNetwork 2000). Atacul TFN are capacitatea de a genera pachete de IP cu adresa sursă falsificată. In prealabil însă, sistemele de pe care se face atacul trebuie să fi fost instalate cu aceste utilitare. Acest lucru se face în primul pas, când se atacă stațiile (denumite drone-uri). Un TFN master poate apoi comanda drone-urile cauzând atacuri DoS distribuite.
1.2.6 Soluții pentru implementarea securității
asigurarea securității perimetrului rețelei se face cu un firewall, dispozitiv special de rețea.
Monitorizarea rețelei se face cu un IDS (Intrusion Detection System), alt dispozitiv special de rețea.
Păstrarea confidențialității și integrității datelor într-un mediu ostil se face cu tehnologii VPN (VirtualPrivate Network).
Pentru identificarea, autorizarea și monitorizarea activității (accounting) utilizatorilor într-un mod centralizat se folosesc protocoale precum RADIUS (Remote Authentication Dial-In User Service) sau TACACS (Terminal Access Controller Access Control System).
1. Firewall-ul – firewall-ul este un sistem sau un grup de sisteme care implementează politica de acces între două sau mai multe rețele.
Firewall-urile pot fi clasificate în patru mari clase:
firewall-uri dedicate,
firewall-uri de rutere,
firewall-uri de server și
firewall-uri personale.
Firewall-urile dedicate sunt mașini ce rulează un sistem de operare special conceput pentru filtrarea de pachete și translatarea de adrese.
Firewall-urile de rutere reprezintă de fapt software special care rulează pe rutere. Ruterul este astfel integrat cu facilități de firewall.
Firewall-urile de server sunt implementate, în general, ca un software adițional peste un sistem de operare de rețea (Linux, NT, Win2K, Novell, UNIX). Exemple de astfel de pachete software sunt: Netfilter, Microsoft ISA Server, Novell Border Manager. Din cauză că rulează software peste un sistem de operare de uz general, aceste tipuri de firewall-uri nu se descurcă la fel de bine în situații de încărcare mare ca un firewall dedicat.
Firewall-urile personale sunt instalate pe calculatoarele personale. Ele sunt concepute pentru a preveni atacuri doar asupra calculatorului pe care rulează. Este important de reținut că aceste tipuri de firewall-uri nu sunt optimizate pentru rețele întregi de calculatoare.
Principalele mecanisme prin care un firewall asigură protecția rețelei sunt : filtrarea de pachete și translatarea de adrese.
1.2.7 Filtrarea de pachete
Filtrarea de pachete este procesul prin care firewall-ul lasă să treacă în rețeaua locală doar anumite pachete, pe baza unor reguli. Filtrarea de pachete este folosită pentru a proteja o rețea de atacuri din exterior (Internet) și se realizează la nivelurile OSI 3 și 4.
Regulile de filtrare sunt formate dintr-o parte care identifică pachetul și o parte care specifică cum să se trateze pachetul.
In partea de identificare se poate specifica adresa sursă, adresa destinație, adresa de rețea sursă, adresa de rețea destinație protocolul (TCP, UDP, ICMP), portul sursă sau destinație (doar pentru TCP sau UDP), tipul mesajului (pentru ICMP), interfața de intrare sau ieșire, adresele de nivel doi, etc.
Partea de tratare a pachetului specifică ce anume trebuie făcut cu pachetele identificate de regulă. Pentru filtrare există în general 3 posibilități de tratare: acceptare, ignorare sau respingere. In cazul acceptării pachetul este lăsat să treacă. In cazul ignorării pachetului nu este lăsat să treacă și nu se trimite notificare către sursă. In cazul respingerii pachetul nu este lăsat să treacă, dar se trimite notificare către sursă (un mesaj ICMP al cărui tip poate fi, în unele implementări, ales de cel care construiește regula; de cele mai multe ori se folosește un mesaj ICMP de tip port-unreachable).
1.2.8 Translatarea de adrese
Translatarea de adrese sau NAT este procesul prin care un ruter modifică adresele sursă (SNAT) sau destinație (DNAT) din anumite pachete care trec prin ruter pe baza unor reguli.
Putem considera că translatarea adreselor este o funcție definită pe o mulțime de adrese (A) cu rezultate într-o altă mulțime de adrese (B). Astfel, fiecare pachet cu o adresă sursă sau destinație (după cum este specificat în regulă) din mulțimea A va fi înlocuită cu o adresă din mulțimea B.
Se spune că avem o translatare de adresă statică dacă mulțimile A și B sunt fiecare formate dintr-un singur element. In caz contrar avem o translatare de adrese dinamică.
Avantajul folosirii translatării de adrese dinamice constă în faptul că se poate folosi o partajare a adreselor rutabile disponibile organizației. Astfel, calculatoarelor din rețeaua locală li se alocă adrese private, iar ruterul va face o translatare de adrese dinamice din mulțimea de adrese private în mulțimea de adrese publice alocate organizației. Se observă însă că această abordare permite ca doar Card(B) calculatoare din rețeaua locală să aibă conversații TCP sau UDP cu Internetul. Alt avantaj al folosirii translatării de adrese este acela că se ascunde astfel exteriorului maparea reală de adrese.
Translatarea de adrese statică se folosește atunci când în rețeaua locală avem un server pe care dorim să îl accesăm din exterior. In acest caz se face o mapare unu la unu între adresa din interior și cea din exterior.
O metodă mai avansată de translatare de adrese o reprezintă PAT (Port Address Translation), uneori denumită și NAT overloaded. Această metodă permite un număr de aproximativ 64000 de conversații simultane de la orice host intern către exterior cu o singură adresă externă. Implementarea înlocuiește pachetul din rețeaua locală cu adresa sursă S, adresa destinație D, portul sursă P, portul destinație Q, cu altul nou ce va avea adresa sursă M (adresa ruterului), adresa destinație D, portul sursa K. Portul destinație nu se schimbă. De asemenea se memorează asocierea (S,P) – K. Dacă un pachet ajunge pe ruter din exterior, având adresa destinație M, adresa sursă Q și portul destinație K, atunci acest pachet va fi înlocuit cu un altul cu adresa destinație S, adresa sursă Q, portul destinație P și va fi trimis în rețeaua locală. Portul sursă nu se schimbă.
Un caz special al PAT îl reprezintă redirectarea. În acest caz se va înlocui pachetul primit din rețeaua locală având adresa sursă S, adresa destinație D, portul P cu un altul având adresa sursă S, adresa destinație M (adresa ruterului), portul R (portul în care se face redirectarea, specificat de utilizator). Redirectarea este în general folosită pentru a implementa un proxy transparent, caz în care pe ruterul M portul R ascultă un proxy configurat pentru proxy transparent.
1.2.9 Filtrare de pachete și translatare de adrese avansată
Anumite protocoale, datorită felului în care sunt concepute, pot să nu funcționeze corect atunci când clientul și serverul sunt separate de un firewall care filtrează pachete sau implementează PAT. În general, pentru astfel de protocoale clientul și serverul negociază un port pentru client și apoi serverul inițiază o conexiune către client pe portul negociat. Din această cauză, implementarea unui mecanism de filtrare care să permită funcționarea acestui protocol, dar să protejeze stația de atacuri din exterior, se complică extrem de mult. La fel stau lucrurile și pentru PAT.
Exemplu de astfel de protocoale : FTP.
Protocolul FTP folosește două porturi:
– portul de date (ftp-date) și
– portul de comenzi (ftp-comenzi).
La conectarea la server, clientul inițiază o conexiune către portul ftp-comenzi. În momentul în care clientul dorește transferul unui fișier el va pregăti un port pe care va asculta cereri de conexiuni de la server, după care va trimite pe canalul de comenzi un mesaj în care i se cere serverului fișierul de transferat și în care îi trimite serverului portul pe care clientul ascultă. Serverul va iniția apoi o conexiune de pe portul ftp-date către portul specificat de client. Aceste este modul de funcționare normal pentru protocolul FTP. Clientul poate fi însă configurat să ceară de la server un mod de lucru pasiv, în care doar clientul inițiază conexiuni.
Fie o situație în care dorim să utilizăm filtrarea de pachete pentru a proteja rețeua locală de atacuri din exterior. Astfel, pe firewall nu vom permite ca stațiile din exterior să inițieze conexiuni către stațiile din interior. Din acest motiv, în momentul în care o stație
locală va încerca să transfere un fișier în mod normal de pe un server de FTP, firewall-ul va bloca încercarea de deschidere a unei conexiuni a serverului către client. Cum portul este negociat de client, problema apărută nu se poate rezolva foarte simplu.
Singura soluție posibilă este ca firewall-ul să analizeze toate pachetele schimbate de client și server și să identifice portul negociat. Cu această informație va putea apoi permite stabilirea conexiunii inițiate de server cu clientul. Folosirea unei astfel de abordări este denumită stateful inspection sau connection tracking.
Concluzii:
Pentru efectuarea proiectarilor de retele cît și adoptarea sistemelor de securitate a rețelelor de calculatoare este necesară cît și construcția fizică a topologiei de rețea, descrierea problemelor și principiul de funcționare al rețelei, pentru a formula o securitate și a preveni intruziunile și vulnerabilitățile nedorite este necesar să cunoaștem totalitatea softurilor și serverilor ce sunt in rețeaua de calculatoare. Acestea ne vor ajuta concret să alegem o modalitate perfectă de ajustare a securității și prevenirea la timp al atacurilor cunoscute pînă în prezent cît și celor care pot potențial fi modificate și transformate într-o problemă a securității.
2.DESCRIEREA GENERALĂ A SISTEMULUI DE ASIGURARE A SECURITĂȚII REȚELELOR DE CALCULATOARE UTILIZÂND METODA DE DETECȚIE ȘI PREVENIRE A INTRUZIUNILOR
2.1 IDS – Sisteme de detectie ale intruziunilor
Un sistem de detectie al intruziunilor – IDS (Intrusion Detection System) reprezinta un echipament (sau o aplicatie) care monitorizeaza activitatile retelei si/sau sistemului cautand activitati malitioase sau violari ale politicilor.
Detectia intruziunilor este procesul de monitorizare a evenimentelor care au loc intr-un sistem sau o retea de calculatoare si analiza lor pentru a detecta posibile incidente care sunt violari sau amenitari iminente de violare a politicilor de securitate, a politicilor de utilizare acceptate sau a practicilor standard de securitate. Prevenirea intruziunilor este procesul prin care se desfasoara detectia intruziunilor si incercarea de inlaturare a posibilelor incidente detectate. Sistemele de detectie si prevenire ale intruziunilor – IDPS (Intrusion Detection-Prevention Systems) au ca scop principal identificarea posibilelor incidente, inregistrarea informatiilor despre ele, incercarea de inlaturare a incidentelor si raportarea catre administratorii de securitate. In plus, organizatiile pot folosi IDPS-urile si pentru alte scopuri: identificarea problemelor legate de politicile de securitate, documentarea amenintarilor existente si descurajarea indivizilor in a incalca politicile de securitate.
2.2 Tipuri de IDS-uri Intrusion Detection-Prevention Systems
Network-based si host-based
Sistem de detectie al intruziunilor de tip network-based
Intr-un sistem de detectie al intruziunilor de tip network-based – Network-based Intrusion Detection System (NIDS) – senzorii sunt localizati in puncte critice ale retelei care este monitorizata, de cele mai multe ori la marginea retelei sau in DMZ (demilitarized zone). Senzorii capteaza tot traficul din retea si analizeaza continutul fiecarui pachet cautand urme de trafic malitios.
Un NIDS reprezinta o platforma independenta care identifica intruziunile prin examinarea traficului din retea si monitorizeaza mai multe statii. NIDS-urile pot vizualiza traficul din retea prin conectarea lor la un hub sau la un echipament switch configurat cu port mirroring.
Sistem de detectie al intruziunilor de tip host-based
Intr-un sistem de detectie al intruziunilor de tip host-based – Host-based Intrusion Detection System (HIDS) – senzorul consta, de obicei, intr-un agent software care monitorizeaza toata activitatea ce se desfasoara pe statia pe care este instalat, incluzand aici sistemul de fisiere, kernel-ul si chiar aplicatii in unele cazuri.
Un HIDS reprezinta un agent care ruleaza local pe statie si care identifica intruziunile analizand activitatile sistemului, aplicatiile, modificarile sistemului de fisiere si alte activitati ale statiei.
2.2.1. Sisteme pasive si sisteme active de prevenire și detectare a intruziunilor în rețea
Intr-un sistem pasiv, senzorul sistemului de detectie al intruziunilor (IDS) detecteaza o potentiala bresa de securitate, inregistreaza informatia si alerteaza administratorul folosind o metoda specifica (mesaje in consola, alerte, etc.). Intr-un sistem reactiv, cunoscut sub denumirea de Sistem de Prevenire al Intruziunilor – Intrusion Prevention System (IPS), IPS-ul raspunde activitatii suspicioase prin terminarea conexiunii sau prin reprogramarea firewall-ului de a bloca traficul de retea provenind de la sursa malitioasa suspectata. Aceasta se poate intampla automat sau la comanda unui operator.
Desi ambele se refera la securitatea unei retele, si uneori notiunile pot fi confundate, un IDS difera de un firewall deoarece firewall-ul urmareste semne ale intruziunilor pentru a le impiedica sa se intample. Un IDS evalueaza o posibila intruziune o data ce a avut loc si semnaleaza o alerta. Un sistem care termina conexiunea ca metoda de raspuns este un IPS si poate fi privit uneori ca o forma de firewall la nivel de aplicatie.
Termenul IDPS – Sistem de Detectie si Prevenire al intruziunilor se refera la sisteme de securitate hibride care atat detecteaza intruziunile cat si incearca sa le previna.
2.2.2. IDS-uri bazate pe anomalii si IDS-uri bazate pe semnaturi
Sistemele de detectie ale intruziunilor folosesc cel putin una dintre cele doua tehnici de detectie: anomalii statice si/sau semnaturi.
IDS bazat pe anomalii statice – Un astfel de IDS stabileste o valoare initiala de performanta bazata pe evaluari ale traficului normal din retea. Dupa efectuarea acestui pas initial, IDS-ul va raporta traficul curent din retea la valoarea initiala stabilita pentru a stabili daca se incadreaza in limitele normale. Daca traficul din retea depaseste limitele normale va fi generata o alarma. IDS bazat pe semnaturi – Un astfel de IDS examineaza traficul din retea cautand modele de atac preconfigurate si predeterminate cunoscute sub numele de semnaturi. Multe atacuri astazi au semnaturi diferite. Pentru a putea face fata amenintarilor o colectie de astfel de semnaturi trebuie actualizata in permanenta.
2.3. Limitari si tehnici de evitare ale IDS-urilor
Capabilitatile unui IDS pot fi limitate de:
Zgomot – Zgomotul poate afecta in mod sever eficacitatea unui IDS. Pachete gresite, generate de defectiuni ale software-urilor, date DNS alterate si pachete locale care au scapat pot crea o rata foarte crescuta de alarme false.
Prea putine atacuri – Nu este neobisnuit ca numarul de atacuri reale sa fie mult sub rata de alarme false. Atacurile reale pot fi atat de mult sub rata de alarme false incat sunt de obicei ignorate de catre IDS.
Actualizarea semnaturilor – Multe atacuri sunt indreptate catre versiuni specifice de software. Pentru a putea face fata amenintarilor este nevoie de o colectie de semnaturi actualizata in mod constant. O colectie de semnaturi care nu este actualizata poate lasa IDS-ul vulnerabil la strategii noi de atac.
Tehnici de evitare a IDS-urilor:
fragmentarea si trimiterea de pachete mici – o tehnica de baza care presupune fragmentarea informatiei in mai multe pachete mai mici pentru a face imposibila reconstruirea sesiunii la IDS
fragmente care se suprapun – tehnica ce presupune crearea de pachete cu numere ale secventei TCP care se suprapun incercand astfel sa se exploateze faptul ca sistemele de operare trateaza diferit aceasta suprapunere: unele vor lua in considerare datele mai noi, altele datele mai vechi
violari de protocol – violari deliberate ale protocoalelor TCP sau IP in asa fel incat statia tinta sa manevreze diferit pachetele decat IDS-ul
inserarea de trafic in IDS – un atacator poate trimite pachete care sa ajunga doar la IDS nu si la statia tinta rezultand astfel o serie de alarme false
– atacuri de tip DoS – un atacator poate evita un IDS prin efectuarea unui atac de tip DoS asupra lui care sa ii consume resursele sau care sa genereze un numar foarte mare de alarme false reusind astfel sa ascunda atacul real
2.4. Exemple sisteme de detectare a intruziunilor IDS
Mai jos sunt prezentate o serie de Sisteme de Detectie ale Intruziunilor :
OSSEC – http://www.ossec.net/
Prelude Hybrid IDS – http://www.prelude-technologies.com/en/welcome/index.html
Snort – http://www.snort.org/
Suricata – https://redmine.openinfosecfoundation.org/projects/show/suricata
Daca doriti mai multe informatii despre Sistemele de Detectie ale Intruziunilor puteti consulta una dintre adresele de mai jos:
Intrusion Detection Systems de la Open Directory Project
Guide to Intrusion Detection and Prevention Systems(IDPS) NIST SP 800-94, 02/2007
Intrusion Detection/Prevention Systems classification tree
2.5 IPS – Sisteme de prevenire a intruziunilor
Un Sistem de Prevenire al Intruziunilor – Intrusion Prevention System (IPS) – reprezinta un echipament de securitate al retelei care monitorizeaza activitatile retelei si/sau sistemelor si poate reactiona, in timp real, sa blocheze sau sa previna unele activitati malitioase. Tehnologia prevenirii intruziunilor este vazuta de catre unii ca o extensie a tehnologiei de detectie a intruziunilor, deoarece un IPS trebuie sa fie in acelasi timp si un foarte bun IDS pentru a asigura o rata scazuta de alarme false.
Un IPS este, in mod obisnuit, conceput pentru a opera complet invizibil in retea. Produsele IPS nu au de obicei o adresa IP din reteaua protejata dar pot raspunde in mod direct oricarui tip de trafic prin diverse metode (terminarea conexiunilor, renuntarea la pachete, generarea de alerte, etc.)
Desi unele IPS-uri au abilitatea de a implementa reguli de firewall aceasta este de obicei o functie aditionala si nu una din functiile de baza ale produsului. Mai mult, tehnologia IPS ofera o mai buna monitorizare a operatiilor unei retele furnizand informatii despre statiile active, incercarile de autentificare esuate, continut necorespunzator si alte functii ale nivelelor retea si aplicatie.
2.6 Diferențe față de IDS-uri
IPS-urile au unele avantaje fata de IDS-uri. Unul dintre acestea se refera la faptul ca IPS-urile sunt proiectate sa fie implementate in-line astfel incat tot traficul sa treaca prin ele si sa poata preveni atacurile in timp real. In plus, multe dintre solutiile IPS au capabilitatea sa decodifice protocoalele de nivel aplicatie (HTTP, FTP, SMTP) oferind astfel o mai buna monitorizare. Totusi atunci cand se doreste implementarea unui IPS de tip network-based trebuie sa se ia in considerare faptul ca daca prin respectivul segment de retea circula trafic criptat majoritatea produselor nu pot sa inspecteze astfel de trafic.
Un alt avantaj major ar fi faptul ca unele dintre IPS-uri au posibilitatea de a corecta unele dintre metodele de evitare ale IDS-urilor(atacuri de tip DoS, inserarea de trafic).
2.6.1 Tipuri de IPS-uri Host-based
Un Sistem de Prevenire al Intruziunilor este de tip host-based (HIPS) atunci cand aplicatia de prevenire a intruziunilor se afla pe adresa IP specifica sistemului protejat, de obicei o singura statie. HIPS complementeaza metodele antivirus traditionale bazate pe semnaturi deoarece nu necesita o actualizare continua pentru a putea raspunde atacurilor. Deoarece codul daunator trebuie sa modifice sistemul sau alte componente software care se afla pe masina in cauza un HIPS va observa aceste modificari si va incerca sa previna aceasta actiune sau sa anunte utilizatorul pentru permisiune.
Dezavantajul major al unui astfel de produs consta in folosirea extensiva a resurselor statiei pe care se afla.
2.6.2. Tipuri de Network-based
Un Sistem de Prevenire al Intruziunilor este de tip network-based (NIPS) atunci cand aplicatia/echipamentul de prevenire al intruziunilor se afla la o alta adresa IP decat statia pe care o monitorizeaza. NIPS sunt platforme hardware/software care analizeaza, detecteaza si raporteaza evenimente legate de securitatea unei retele/segment de retea de calculatoare.
2.6.3. Diferențe între IPS-uri de tip host-based si network-based
HIPS-urile pot lucra atat cu date criptate cat si cu date necriptate deoarece analiza se face dupa ce datele au fost decriptate de catre statie NIPS-urile nu folosesc din memoria si procesorul statiilor care le protejeaza ci dispun de propria memorie si propriul processor NIPS-urile se afla in punctele critice ale retelei si tot traficul depinde de buna lor functionare, fapt ce poate constitui un dezavantaj atunci cand echipamentul este nefunctional NIPS-urile pot detecta evenimente distribuite in retea (evenimente de prioritate joasa dar care afecteaza mai multe statii din retea) si pot reactiona in timp ce HIPS-urile au la dispozitie doar datele de pe masina pe care functioneaza pentru a putea lua o decizie
Analiza metodelor și sistemelor de detecție a intruziunilor
Anomaly-based detection (Metoda bazată pe detectarea anomaliilor), care compară activități și evenimente ce sunt considerate normale față de evenimentele observate anterior pentru a identifica abateri semnificative. Această metodă utilizează profiluri care sunt dezvoltate prin monitorizarea caracteristicilor tipice ale unei activități pe o anumită perioadă de timp. IDPS-ul compară apoi caracteristicile activității curente și a pragurilor referitoare la profil. Metoda bazată pe detectarea anomaliilor poate fi foarte eficace în detectarea amenințărilor necunoscute anterior. Problemele ce țin de metoda bazată pe detectarea anomaliilor sunt, activitățile efectuate din greșeală cu caracter malițios dintr-un profil, stabilirea profilurilor care nu sunt suficient de complexe pentru a reflecta realitatea proceselor de calcul.
IDS bazat pe semnături – Un astfel de IDS examinează traficul din rețea căutând modele de atac preconfigurate și predeterminate cunoscute sub numele de semnături. Multe atacuri astăzi au semnături diferite. Pentru a putea face față amenințărilor o colecție de astfel de semnături trebuie actualizată în permanență.
Stateful protocol analysis (protocol de analiză a stării), care compară profilurile prestabilite prin definiții general acceptate de aplicare a protocolului pentru a identifica abateri. Spre deosebire de metoda bazată pe detectarea anomaliilor, care folosește profiluri de tip gazdă sau rețea, protocol de analiză a stării a fost dezvoltat pe profiluri universale, care specifică modul în care ar trebui să fie utilizate protocoalele. Acesta este capabil să înțeleagă și să urmărească starea protocoalelor care au o proprietate de stare, care îi permite să detecteze mai multe atacuri care alte metode nu au această posibilitate. Printre problemele care apar la utilizarea protocolului de analiză a stării se referă la faptul că este de multe ori foarte dificil sau imposibil de a dezvolta modele complet exacte ale protocoalelor, consumă intensiv foarte multe resurse, și nu poate detecta atacurile care nu încalcă caracteristicile generale de comportament acceptabile ale protocolului[16].
Se știe, că există patru categorii majore de atacuri asupra rețelelor de calculatoare. Fiecare atac asupra unei rețele de calculatoare poate fi clasificat într-una din următoarele categorii [19]:
Denial of Service (DoS): Un atac DoS este un tip de atac în care o persoană cu intenții malițioase face ca o resursă de calcul sau de memorie să fie prea ocupată sau prea saturată pentru a oferi acces neautorizat pentru unele echipamente, aplicații sau servicii. De exemplu: apache, smurf, neptune, ping of death, back, mail bomb, UDP storm.
Remote to User Attacks (R2L): Un atac la distanță reprezintă un atac în care un utilizator trimite pachete la o mașină de calcul prin intermediul internet-ului, pentru a expune vulnerabilitățile calculatorului și de a exploata privilegiile pe care un utilizator local l-ar avea asupra calculatorului. De exemplu: xlock, guest, xnsnoop, phf, sendmail dictionary .
User to Root Attacks (U2R): Aceste atacuri reprezintă acțiuni prin care o persoană cu intenții malițioase accesează un sistem cu un cont de utilizator normal și intenționează să abuzeze de vulnerabilitățile din sistem, în scopul de a obține privilegii super-utilizator. De exemplu: perl, xterm.
Probing: reprezintă un atac în care o persoană cu intenții malițioase scanează o mașină sau un dispozitiv de rețea, în scopul de a determina punctele slabe sau vulnerabilități care pot fi exploatate ulterior în așa fel ca să compromită sistemul. Această tehnică este frecvent utilizată în exploatarea datelor. De exemplu: saint, portsweep, mscan, nmap.
În prezent toate activitățile principale ale unei întreprinderi se mențin de rețele de calculatoare. În ciuda faptului că tehnologii sofisticate de asigurare a securității informaționale sunt puse în aplicare, rețelele de calculatoare continuă să rămână vulnerabile. Hackeri, angajați nemulțumiți, firme imorale și organizații teroriste sunt și în continuare cei care încearcă să pătrundă în rețelele corporative pentru a aduna informații sensibile. Prin urmare, rețelele sunt din ce în ce mai vulnerabile și, ca rezultat atacurile asupra rețelelor se intensifică. Deși firewall-uri și router-ele sunt implementate, numai ele sunt insuficiente. Sisteme de detectare a intruziunilor existente monitorizează și inspectează pachetele ce traversează rețeaua pentru a asigura o analiză în detalii a acestor pachete. Dar, deoarece în prezent atacurile sunt din ce în ce mai multe și mai sofisticate, sistemele disponibile IDS nu sunt în măsură să facă față, deoarece acestea sunt proiectate numai pentru detectarea anumitor tipuri de atacuri. Este evident că nici o metodă sau sistem de detectare a intruziunilor nu poate garanta protecția împotriva atacurilor viitoare. Prin urmare, nu este nevoie doar de o arhitectură integrată, care să poată oferi o protecție sigură împotriva unui spectru larg de amenințări, dar pentru proiectarea sistemelor de detectare a intruziunilor se propune o arhitectură bazată pe paradigma orientată pe servicii [20].
Complexitatea rețelelor face uneori imposibilă siguranța lor, deoarece nu se cunosc toate amenințările și vulnerabilitățile care pot fi încercate, traseu ce se va alege pentru atac. Toate aceste sunt variabilele necunoscute. Cele mai multe medii și infrastructuri de rețea la scară largă includ rețele cu mai multe conexiuni de mare viteză la Internet și mențin un număr foarte mare de rețele pentru clienți, mii de utilizatori interni și diferite web servere. Multe dintre aceste sisteme se confruntă zilnic cu un risc tot mai mare de întreruperi neașteptate și neplanificate din cauza diferitor tipuri de atacuri și a breșelor de securitate. În acest mediu de incertitudine, care este plin de hackeri și amenințări malware, sistemele de detectare a intruziunilor sunt cele mai bune pentru asigurarea continuității serviciilor lor. Arhitectura unui sistem centralizat de detectare a intruziunilor se prezintă în figura 2.5.1.
Figura 2.1. Arhitectura centralizată a sistemelor de detectare a intruziunilor
Minimizarea întreruperilor neașteptate și neplanificate se face de sistemul de detectare și prevenire a intruziunilor prin identificarea și apărarea împotriva utilizării abuzive a resurselor informaționale, detectarea atacurilor și vulnerabilităților, detectarea și răspunderea traficului în rețea de tip malware și prevenirea utilizării abuzive a resurselor de pe calculator [21].
Detectarea intruziunilor este procesul de identificare și eventual de reacție la activitățile de tip malware care vizează resursele de calcul și de rețea. Componentele hardware sau software care monitorizează, detectează sau reacționează la evenimentele care au loc într-o rețea sau pe un calculator se consideră foarte importante pentru asigurarea procesului de detectare a intruziunilor. Actualmente există diferite sisteme de detectare a intruziunilor, care oferă diferite funcționalități și beneficii.
În cercetările efectuate recent, se oferă o imagine pe ansamblu privind sistemele comerciale și publice de detectare a intruziunilor. În special, se formulează un șir de concepte și tehnici cu privire la diferite tipuri de atacuri, modele teoretice privind abordările de detectare a atacurilor, punerea lor în aplicare, colectarea datelor, evaluarea, precum și reacția la intruziunile detectate de sistemele de detectare și prevenire a intruziunilor în rețea.
Se știe, că uneori personalul instituțiilor fac abuz de privilegii acordate pentru a avea acces prin intermediul rețelei locale la resursele informaționale importante ale instituției. Pentru a evita aceste situații se propune un sistem distribuit de detectare a intruziunilor numit APA (aplication process audit – procesului de audit de aplicare), care permite identificarea încălcărilor regulilor interne de securitate a rețelelor de calculatoare. APA reprezintă un sistem multi-agent – sistem preconfigurat pentru aplicații în timp real de detectare a intruziunilor. Rezultatele obținute semnifică, că tehnologiile de detectare a intruziunilor au fost aplicate corect la dosarele de alerte și la jurnalele de audit, în scopul de a găsi unele reguli de audit veridice. În același timp, baza de reguli poate fi actualizată automat cu aceste reguli. Întregul sistem are șase tipuri de agenți, care cooperează între ei pentru a pune în aplicare monitorizarea. În prezent, sistemul de tip APA este implementat în mai multe instituții și are o bună reputație [22].
Multe tehnici de detectare a intruziunilor sunt propuse pentru a asigura securitatea rețelei, și de a proteja resursele și infrastructura rețelei. Sisteme de detectare a intruziunilor (IDS) încearcă să detecteze atacurile prin colectarea datelor din rețea din diverse domenii pentru a identifica posibile intruziuni. Reieșind din cercetările efectuate se propune IDS-uri integrate – un nou tip de IDS prin combinarea a trei metode de bază: anomalii, abuz și luarea deciziilor. Scopul este de a obține un model care ar permite o precizie și o rată mai bună în procesul de detectare a intruziunilor. Pentru a detecta atacurile la sistemul procesare a cardurilor de credit modulul de detectare a anomalilor se proiectează, folosind abordarea Markov. Comportamentul titularului cardului de credit se definește ca atribut, iar tranzacțiile anormale sau anonime sunt găsite în dependență de profilul de cheltuieli al lui. Tranzacțiile care sunt considerate o anomalie sau anormale sunt transmise la sistemul de detectare de abuz. Aici, tranzacțiile sunt comparate cu tipurile de atac predefinite și apoi transmise la modulul de luare a deciziilor pentru a clasifica tipul cunoscut sau necunoscut de atac. În cele din urmă, modulul de luare a deciziilor este folosit pentru a integra rezultatele detectate și a raporta tipurile de atacuri la sistemul de carduri de credit. În astfel de sisteme de detectare a intruziunilor tranzacțiile anormale sunt analizate cu mai multă atenție, rata fraudelor fiind redusă substanțial, iar sistemul devenind mai imun la atacuri.
Actualmente sistemele de detectare a intruziunilor (IDS) au mai multe deficiențe, privind detectarea atacurilor complexe și necunoscute. Pentru a înlătura aceste neajunsuri se propun sisteme de detectare a intruziunilor bazate pe metoda Honeypot cu posibilități Real Time Rule Accession (RTRA). Folosind Honeypot se pot preveni atacurile asupra rețelelor de calculatoare și în plus, se pot colecta datele respective privind traficul atacului în cadrul rețelei. În scopul de a îmbunătăți performanța de detectare a IDS-ului, algoritmul RTRA ce reprezintă reguli utilizate în baza datelor înregistrate de Honeypot și utilizate pentru a genera reguli noi care vor fi adăugate la Snort IDS în mod dinamic. Rezultatele experimentale arată că sistemul de detectare a intruziunilor propus este destul de eficient în detectarea atacurilor în timp real, chiar dacă anterior nu a fost setat cu reguli care să le detecteze [24].
Actualmente sistemele de detectare a intruziunii se referă nu numai la detectarea atacurilor, dar pot să ofere mecanisme de reacție pentru a face față atacurilor detectate sau, cel puțin, să reducă efectul lor. Activitățile de cercetare în acest domeniu s-au finalizat cu propunerea de a pune în aplicare metoda de selectare automată a eventualelor acțiuni capabile de a stopa atacurile detectate. Dar, de fapt s-a observat, că măsurile de contracarare au și efecte secundare și pot fi la fel de dăunătoare ca și atacul detectat. S-au propus acțiuni de a îmbunătăți procesul de selecție și de reacție, care au un efect negativ asupra sistemului informatic. Pentru a atinge acest obiectiv se efectuează evaluări a riscurilor de securitate[25].
S-a dovedit, că sisteme de detectare a intruziunilor (IDS) reprezintă un instrument important pentru protecția rețelei de calculatoare. În scopul de a evalua performanța sistemelor IDS de rețea, au fost folosiți mai mulți algoritmi de clasificare: bazați pe reguli (Ridor, Decision Table), clasificatorii arbori (REPTree, C 4.5, Random Forest) și clasificatorul Naïve. Mai multe experimente au fost efectuate, inclusiv pe setul de date NSL-KDD. Experimentele au dovedit, că discretizarea are o influență importantă asupra timpului pentru a clasifica instanțele de testare. Aceasta reprezintă un factor important în cazul în care se propune un IDS pentru a funcționa în timp real în rețea [26].
În prezent IPsec a devenit un standard de securitate a informației în întreaga rețea Internet. Acest protocol asigură un grad sporit de confidențialitate, autentificare, integritate, schimb securizat de chei de acces și mecanisme sigure de protecție a resurselor de rețea, inclusiv criptarea fiecărui pachet.
Figura 2.2 Criptarea traficului de date IP în modul transport și tunel [27].
Însă utilizarea IPsec și criptarea traficului în rețea implică și detecția intruziunilor în rețea, în special în cazul în care traficul este decriptat la nivel de rețea [27].
Una din direcțiile perspective de dezvoltare a sistemelor IDS reprezintă sistemele distribuite de detectare a intruziunilor bazate pe tehnologia multi-agent, inspirate din metodele de cercetare multi-agent utilizat în sistemele de prelucrare a informațiilor complexe pentru îmbunătățirea securității sistemelor distribuite de detectare a intruziunilor folosind Mobile Agent. În modelul distribuit cu două straturi a sistemului de detectare a intruziunilor a fost extins într-o structură cu trei straturi, stratul nou fiind destinat pentru a monitoriza stările de existență ale fiecărui agent de detectare și de a utiliza mecanismul de negocieri, de coordonare pentru a regula modul de lucru a fiecărui agent pentru protejarea securității sistemului. În cadrul cercetărilor efectuate se propune o metodă de analiză cantitativă cu trei agenți în sistemul distribuit de detectare a intruziunilor. Aceasta reprezintă o continuare a metodei de proiectare de existență a agentului. Analiza fluxului de lucru și sistemului de detectare au demonstrat că securitatea și stabilitatea sistemului nou distribuit de detectare a intruziunilor este îmbunătățită în mod eficient, agentul poate funcționa în mod normal și în siguranță strictă cu condițiile mediului [28].
S-au efectuat studii, care s-au axat pe soluții de securitate bazate pe ideea de detectare a intruziunilor, care ar trebui să fie independente de tipul web server sau de configurare și nu să se bazeze pe alte componente hardware de rețea. Sistemul de detectare a intruziunilor reprezintă o soluție care este conectată direct la aplicația web și se bazează pe analiza cererilor în timp real.
Sistemul de detectare a intruziunilor aplicațiilor Web constă în faptul, că majoritatea atacurilor asupra lor se realizează prin cererile HTTP. Pentru asigurarea securității aplicațiilor Web este necesar de validat toate cererile de intrare HTTP. Exemplu de utilizare abuzivă a cererii HTTP se prezintă în figura 1.3
Figura 2.3. Atac de cerere HTTP [29]
Principalele oportunități ale soluțiilor propuse sunt costuri foarte reduse și implementarea simplă. Propunerea se bazează pe punerea în aplicare a bibliotecii LGPL PHPIDS [41] în aplicație, care constă dintr-un formular web foarte simplu pentru testare. Integrarea bibliotecii PHPIDS a fost testată împotriva principalelor atacuri în securitate web – SQL Injection, Cross Site Scripting, și poluarea parametrului HTTP. Pe această aplicație, s-au efectuat teste simple de stres. De asemenea, s-a evaluat și nivelul de securitate [29].
Sistem de detectare a intruziunilor (IDS) este un sistem de securitate care acționează ca un strat de protecție pentru infrastructura rețelei. De-a lungul anilor, tehnologia IDS s-a dezvoltat enorm, ca să opună o rezistență adecvată activităților înregistrate în domeniul criminalității informatice. De la începutul dezvoltării acestor tehnologii în mijlocul anilor 80, cercetările au fost efectuate pentru a spori capacitatea de detectare a atacurilor, fără a afecta performanța rețelei de calculatoare [30].
S-au efectuat studii, care se referă în căutarea unor indicatori cuantificabili de evaluare a sistemelor IDS. Sistemele de detectare a intruziunilor (IDS) pot avea un rol extrem de important în strategia de apărare a resurselor informaționale în rețele de calculatoare. Un IDS poate acționa ca o a doua linie de apărare și de a oferi analiștilor de securitate perspectivele necesare privind informarea despre activitățile ostile. De aceea, o bună înțelegere a IDS ajută ca administratorii să ia decizii în cunoștință de cauză atunci când vine vorba de alegerea produsului corect pentru sistemele lor. În plus, se evaluează design-ul sistemelor IDS și consecințele unei implementări practice. Prin urmare, pentru a evalua un sistem de detectare a intruziunilor este necesar să se cunoască caracteristicile de performanță [31].
În cadrul anumitor studii s-a depistat, că există anumite diferențe între sistemul de detectare a intruziunilor și sistemul de prevenire a intruziunilor (IDS / IPS) – tehnologie folosită în rețele de calculatoare pentru detectarea intruziunilor. Există și anumite diferențe de implementare a sistemelor de tip IDS în rețele, în care sistemul de detectare este plasat de obicei în afara fluxului de date, ceea ce înseamnă că nu se află plasat nemijlocit în rețea. IPS-ul de obicei se află plasat în rețea, ceea ce înseamnă că traficul poate trece prin echipamentele de rețea. IDS generează doar alerte în cazul în care detectează o anomalie a traficului de rețea, fiind înregistrate ca evenimente fals-pozitive sau fals-negative. Aceasta înseamnă, că IDS-ul detectează numai activități rău intenționate, dar nici o acțiune nu se întreprinde cu privire la aceste activități. Pe când IPS-ul are atât caracteristici de detectare, cât și de prevenire, cu inițierea de anumite acțiuni automate sau manuale privind activitățile rău intenționate identificate în procesul de detectare.
Figura 2.4. Diferența între sistemele de detectare și de prevenire a intruziunilor[32]
De obicei se întreprind următoarele acțiuni: cădere, blocare sau terminare a conexiunii [32].
S-a studiat și s-a făcut concluzia, că IDS tradiționale nu pot fi dezvoltate la un cost minim de design din punct de vedere auditului. Atunci s-a propus arhitectura de proiectare de tip IDSIC (Sistem de detectare a intruziunilor cu capacitate de identificare). În acest tip de IDSIC, arhitectura constă dintr-un motor de detecție nou, care poate examina header-ul pachetului, și care oferă o separare a funcției de audit de securitate și hackeri. Cu implementarea acestei arhitecturi este posibil de a reduce costul de alarme false, fie alarme false-pozitive sau negative [33].
Bro este un sistem de detectare a intruziunilor de rețea (NIDS) de tip open-source, bazat pe sistemul de operare Unix, care permite monitorizarea pasivă a traficului în rețea și detectarea activităților suspecte. Bro permite de asemenea detectarea intruziunilor din traficul de rețea prin analiza și extragerea semantică a conținutului acestuia la nivelul aplicației și apoi analiza evenimentelor și compararea activităților cu modele considerate suspicioase. Analiza include detectarea de atacuri specifice, inclusiv cele definite de semnături, dar, de asemenea, cele definite în termeni de evenimente și activități neobișnuite (de exemplu, conectarea la anumite servicii, sau tentative eșuate de conectare).
2.7Analiza comparativă a sistemelor de detecție a intruziunilor
Bro folosește un limbaj specializat, care permite configurarea lui în dependență de necesitățile apărute, cum ar fi atacurile noi descoperite. Dacă Bro detectează ceva ce prezintă interes, acesta poate fi reconfigurat pentru a genera fie un jurnal de evenimente, fie de alerte în timp real. În plus, se pot executa comenzi prin intermediul sistemului de operare – de exemplu, pentru a termina o conexiune sau blocarea activității unui host malware. Înregistrările din jurnal de evenimente Bro, pot fi deosebit de utile pentru investigații criminalistice.
Caracteristica importantă a sistemului Bro și care îl evidențiază de alte sisteme IDS, cum ar fi
Snort este că scripturile Bro pot fi definite pentru a înțelege din punct de vedere semantic date analizate și poate fi instruit în căutarea anomaliilor care pot elimina în mod eficient atacuri. Snort este un sistem bazat pe detectare a intruziunilor în baza semnăturii și presupune existența unei baze disponibile de semnături (modele) bune pentru a detecta cu succes intruziunile. Un model poate fi similar cu o solicitare de tip HTTP, conținând, spre exemplu, C:\ boot.ini la un web server de tip Windows sau / etc / password pentru un web server Linux. Într-un sistem de detecție bazat pe semnătură, pachetele analizate se compară cu semnăturile disponibile folosind expresii regulate. Deci, calitatea de detecție a sistemului de detectare a intruziunilor se bazează pe calitatea semnăturii disponibile.
Pe când sistemul de detectare a intruziunilor Bro se bazează pe identificarea de anomalii în rezultatul comparării pachetelor analizate cu profilul aplicației. De exemplu, o alertă ar putea fi declanșată, dacă mai multe încercări se efectuează de către utilizator într-un timp scurt de a accesa o aplicație. Aplicația se definește prin profilul său. Un script al sistemului Bro se definește pentru a asigura evidența încercărilor utilizatorului de accesa o anumită aplicație și să asigure declanșarea de alerte în cazul în care se depășește valoarea unui prag stabilit. Acest lucru necesită un sistem de detectare a intruziunilor, care permite nu numai pentru a monitoriza protocolul de comunicare, dar și de a ține evidența sesiunilor de comunicare inițiate de utilizator, inclusiv cele eșuate. Această caracteristică a sistemului Bro reprezintă una esențială pentru a înțelege în detalii avantajele distincte față de sistemele de detectare a intruziunilor bazate pe semnături.
Cel mai des, atacurile se pot realiza prin intermediul sistemelor de detectare bazate pe semnături. Spre exemplu, în cazul în care se întreprind atacuri de tip XSS, sistemele IDS de cele mai multe ori nu efectuează analiza caracterelor din script. Această posibilitate ar putea fi realizată prin utilizarea diferitelor metode de codificare, precum codificarea caracterelor speciale utilizând o largă varietate de metode de codificare (URL-ul, base64, etc) și care ar putea ocoli filtrele IDS și realiza atacul. Un vierme polimorf de tip XSS reprezintă un exemplu de atac de acest tip, care poate să nu fie identificat de un sistem de detectare a intruziunilor bazat pe semnătură. Dacă Bro este folosit ca un detector de intruziune, un scenariu ar putea fi scris pe care se caută caractere non-native ale câmpurilor din formularele de cereri și în cazul identificării unor astfel de caractere inițierea unor alerte, semnalând existența unor activități cu potențial de intruziune. Prin urmare, ca astfel de activități complexe de penetrare în rețelele de calculatoare, cum ar fi prin intermediul unui vierme polimorf de tip XSS să fie detectată rapid în comparație cu sistemele tradiționale [34].
Componentele principale a sistemului sunt prezentate în figura 2.5
Figura 2.5. Componentele principale ale sistemului de detectare intruziunilor de tip Bro.
Compararea Snort și Bro se face pe baza următorilor criterii: viteza, semnătura, flexibilitate, implementare, interfață și performanță [35].
Viteza: IDS Bro are capacitatea de a rula la viteze mari și medii. Bro este foarte eficient și capabil de a capta date în rețele Gbps. Acest lucru face posibil utilizarea lui în rețele de dimensiuni mai mari, în timp ce Snort IDS nu este în măsură pentru a rula perfect în rețele de mare viteză, fără pierderi de pachete sau întârizieri în prelucrarea traficului.
Semnături: Semnăturile Bro sunt mai sofisticate decât semnăturile utilizate în Snort.
Flexibilitate: Bro este un sistem flexibil de detectare a intruziunilor cu posibilitatea de a fi configurat pentru detectarea intruziunilor în rețele de calculatoare. Bro dispune de scripturi create conform unor politici de securitate predefinite, care pot fi folosite în mod standard și acestea asigură detectarea atacurilor cunoscute. Dacă se necesită adăugarea a mai multor caracteristici și detectarea a mai multor atacuri, se pot personaliza politicele proprii de script-uri, care conțin propriile reguli. Snort însă nu dispune de posibilități de personalizare și este mai puțin flexibil. O nouă funcționalitate în Bro se adaugă prin scripturile stabilite conform politicilor de securitate și care sunt programate în limbajul Bro. Pe când noile funcționalități în Snort se adaugă prin intermediul limbajului C.
Implementare: Comparativ cu Snort, care este mai mult un "plugin "de sistem, Bro este mult mai dificil de a fi înțeles și necesită mai mult timp pentru implementare.
Interfața: Snort are o interfață utilizator grafică, care îl face destul de popular. Bro nu are o astfel de interfață grafică (interfața grafică (GUI) se consideră ca un dezavantaj a sistemului, deoarece utilizatorul ar trebui să aibă o bună cunoaștere a modului în care sistemul funcționează pe platforma UNIX și să fie capabil să se folosească de comenzi shell pentru a opera în acest sistem).
Compatibilitatea cu sistemele de operare: Actualmente Snort-ul poate fi executat pe toate sistemele de operare moderne și nu este limitat complet la o platformă de echipament server preferată în timp ce Bro este limitat la sistemele de operare de tip UNIX.
Figura 2.6. Componentele principale ale sistemului de detectare a intruziunilor de tip Snort
Snort este un sistem orientat pe pachete, pe când Bro este orientat pe conexiune.
Tabelul 2.1. Analiza comparativă a sistemelor Snort și Bro [35]
În 1998, Yoann Vandoorselaere a proiectat sistemul de detectare a intruziunilor Prelude de tip Open Source. Prelude oferă posibilitatea de colectare, normalizare, agregare, corelare și raportare a tuturor evenimentelor legate de securitate. Prelude poate efectua monitorizarea și reacția la incidente de rețea mai ușor și mai eficient[ 36]. Prin implementarea sistemului Prelude în instituții pot fi atinse următoarele obiective:
Conformitatea cu reglementările existente;
Reducerea costurilor de securitate;
Monitorizarea tuturor dispozitivelor;
Monitorizarea tuturor evenimentelor în timp real.
Conformitatea cu reglementările existente
Prelude oferă organizațiilor posibilitatea să îndeplinească următoarele cerințe de conformitate cu reglementările existente:
Normalizează toate evenimentele din sistem într-un singur format;
Stochează toate jurnalele într-o locație centrală;
Menține un traseu de diagnostic;
Normalizează toate evenimentele de detectare a intruziunilor.
Schimbul de mesaje într-un format universal (IDMEF) este și un format de date și proceduri de schimb de informații pentru detectarea intruziunilor și de reacție pentru sistemele de management.
Se mai folosește un model bazat pe date XML pentru a defini un standard de reprezentare de alerte. Această reprezentare standardizată permite asigurarea interoperabilității între diferite dispozitive. Un format de jurnal standardizat permite, de asemenea, de a obține date de la diferite dispozitive pentru a fi stocate la nivel central.
Normalizarea permite evenimentele din diferite dispozitive pentru a fi stocate într-un format structurat. În esență, aceasta permite toate evenimentele colectate să fie depozitate în aceeași bază de date, în același format. Normalizarea, de asemenea, permite mai eficientă procedura de stocare a evenimentelor.
Prin asigurarea unui jurnal de locație centralizată, nu este nevoie de consolidarea manuală a jurnalelor de sistem. Depozitarea centralizată permite, de asemenea, crearea ușoară a rapoartelor. În plus, Prelude permite utilizatorului să trimită rapoartele la o adresă de e-mail într-un format .pdf atașat sau exportat.
Interfața Pre wiki
Rapoartele de securitate obținute de organizații pot fi prezentate auditorilor. Datele furnizate pot ajuta organizației în argumentarea politicilor de securitate.
Prelude are, de asemenea, capacitatea de a oferi un traseu pentru evenimente. Se stochează o copie a tuturor evenimentelor din baza sa de date. Acesta poate servi ca element de protecție împotriva ștergerii accidentale sau intenționate a datelor.
Compatibilitate universală
Prelude are capacitatea virtuală de interoperabilitate cu orice dispozitiv dintr-o rețea. Prelude oferă un cadru pentru C, C++, Python, Ruby, Lua, Perl. Aceasta asigură că aplicațiile de securitate existente să fie convertite pentru a utiliza posibilitățile de compatibilitate native a sistemului Prelude.
Posibile deficiențe
La fel ca orice altă tehnologie, Prelude are și anumite potențiale deficiențe și dezavantaje. Există următorii factori, de care o organizație trebuie să țină cont înainte de a decide implementarea unui sistem de tip Prelude:
Necesită analiză în profunzime;
Limitare de performanță ale sistemelor existente;
Protocolul vulnerabilităților privind analiză;
Vulnerabilitățile potențiale Prelude;
Posibilități centralizate de logging (potențial punct unic de eșec).
Arhitectura Prelude
Figura 2.7. Arhitectura sistemului de detectare a intruziunilor de tip Prelude
Ethereal se consideră, că reprezintă cel mai bun sistem de detectare a intruziunilor de rețea de tip open source. În plus, Ethereal este gratuit. Acesta are caracteristici care sunt comparabile cu sistemele de detectare a intruziunilor de rețea comerciale.
Gerald Combs a dezvoltat primul Ethereal în 1997, deoarece era nevoia de a crea instrumente suplimentare de depanare pentru rețea. Prima versiune, Ethereal 0.2.0, a fost lansată în iulie 1998. O echipă de dezvoltare, inclusiv Gilbert Ramirez, Guy Harris, și Richard Sharpe oferă patch-uri, îmbunătățiri și decodări suplimentare. Decodările sunt ceea ce permit Ethereal-ului de a decoda protocoale individuale și le prezintă în format vizibil și compatibil [38].
Ethereal poate citi și procesa fișiere de captare de la diferite aplicații, inclusiv sniffers, routere, și utilitarele de rețea. Pentru că Ethereal folosește biblioteca libpcap pentru captare, ea face legătura ușor cu alte produse care folosesc libpcap. De asemenea, ea are capacitatea de a citi o varietate de alte formate. În plus, automat poate determina ce tip de fișier este citit, inclusiv decomprimarea fișierelor .gzip [38].
Prin urmare, principalele caracteristici ale Ethereal-ului sunt:
Afișare de date ușor de citit;
Susținere a unei interfețe configurabile de tip GUI;
Filtrare extinsă la afișare;
Filtrare în format de captare tcpdump;
Reconstruirea unei sesiuni TCP și afișarea rezultatului în binar sau ASCII extins;
Codificare în cod zecimal Interchange (EBCDIC), hexazecimal, sau C;
Disponibil precompilat în binar și codul sursă;
Se rulează pe mai mult de 20 de platforme, ambele bazate pe UNIX și Windows;
Se susțin peste 480 de protocoale;
Se poate citi fișiere de captare de la peste 20 de aplicații diferite;
Se pot salva fișiere de captare într-o varietate de formate, inclusiv libpcap, Associates Sniffer, Microsoft Network Monitor, și Sun Snoop;
Se poate captura date dintr-o varietate de medii de comunicare, inclusiv Ethernet, Token-Ring, 802.11 wireless;
Se susține o versiune cu linie de comandă de sistem de rețea numit tethereal;
Se susțin o varietate de programe, cum ar fi editcap, mergecap, și text2pcap;
Datele de ieșire pot fi salvate sau imprimate ca text simplu sau PostScript.
2.8 Concluzii
Analiza detaliată a sistemelor de detectare a intruziunilor a permis punerea în evidență a tehnologiilor utilizate în acest domeniu, principale tipuri de amenințări și atacuri la securitatea rețelelor de calculatoare și metodele utilizate pentru detectarea intruziunilor în rețele de calculatoare. Prin analiza comparativă a diferitor sisteme de detectare a intruziunilor a fost selectat sistemul Snort, ca cea mai bună platformă pentru elaborarea sistemului pentru detectarea intruziunilor. În rezultatul analizei efectuate s-au formulat cerințele pentru sistemul de asigurare a securității rețelelor de calculatoare prin metoda detectării intruziunilor.
3. PROIECTAREA SISTEMULUI DE SECURITATE A REȚELELOR DE CALCULATOARE UTILIZÂND METODA DE DETECȚIE ȘI PREVENIRE A INTRUZIUNILOR
Sistemul de prevenire și asigurare al securității rețelei de calculatoare este o totalitatea acțiunilor legislative, organizatorice, economice și tehnice precum și a mijloacelor tehnologice și metodelor de protecție software-hardware, care sunt orientate spre asigurarea unui nivel necesar al integrității, confidențialității și accesibilității resurselor informaționale a unei instituții prin minimalizarea pierderilor posibile suportate de utilizatorii și proprietarii ei. Sistemul de prevenire este o extensie a sistemului de detectrare a intruziunilor prin urmărirea și monitorizarea activității în timp real.
3.1 Crearea condițiilor pentru sporirea gradului de securitate și încredere în spațiul digital
1. Sporirea nivelului de securitate cibernetică a infrastructurilor critice naționale (autorități/ instituții publice, rețele de comunicații electronice, apeducte, rețele energetice, rețele de transport, etc.);
2. Sporirea competențelor în securitatea cibernetică;
3 Creșterea gradului de conștientizare a riscurilor spațiului digital și a necesității măsurilor de asigurare a securității cibernetice;
Promovarea și dezvoltarea cooperării în plan internațional în domeniul securității cibernetice.
3.2 Abordarea sistemică a problemei securității cibernetice sau a securității informaționale include 4 componente de bază:
1. Cadrul legislativ, normativ-juridic și științific;
2. Structura și atribuțiile organelor (subdiviziunilor), care asigură securitatea cibernetică sau informațională;
3. Politica securității cibernetice sau informaționale (măsuri și metode tehnico-organizatorice și administrative de asigurare a securității cibernetice sau informaționale);
4. Procedee și mijloace tehnice și software de asigurare a securității cibernetice și informaționale.
Principalele cerințe de asigurare a securității rețelei de calculatoare sunt:
complexitate;
obiective orientate;
continuitate;
fiabilitate, durabilitate;
gestionare centralizată;
eșalonare.
Vulnerabilități privind securitatea resurselor rețelei de calculatoare
Prin Vulnerabilitate a securității unei rețele de calculatoare se înțelege un eveniment sau o acțiune posibilă, orientată spre cauzarea unei pierderi a resurselor sau infrastructurii rețelei de calculatoare.
Principalele amenințări pentru securitatea rețelei de calculatoare sunt:
accesul neautorizat la resursele rețelei de calculatoare;
utilizarea tehnologiilor de asigurare a securității necertificate;
colectarea și utilizarea ilegală a informației în rețeaua de calculatoare;
nerespectarea tehnologiei de prelucrare a informației stabilite;
implementarea în software și hardware a componentelor care execută funcții neprevăzute conform documentației tehnice;
elaborarea și distribuirea programelor, care afectează funcționarea normală a rețelei de calculatoare, precum și a componentelor, care asigură securitatea lor;
scurgerea datelor din rețeaua de calculatoare prin canalele tehnice;
implementarea dispozitivelor electronice pentru interceptarea datelor în mijloacele tehnice de prelucrare, păstrare și transmitere a informației prin canale de comunicație;
interceptarea informației în rețelele de transmitere a datelor și în liniile de comunicații, decodificarea acestei informații și introducerea datelor false;
încălcarea restricțiilor legale privind distribuirea datelor.
Obiecte ale amenințărilor sunt resursele și/sau infrastructura rețelei de calculatoare. Surse ale amenințărilor sunt infractorii, personalul corupt, precum și utilizatorii de rea-voință.
Căile de realizare a amenințărilor sunt următoarele:
accesul neautorizat la resursele rețelei de calculatoare;
acțiune fizică asupra componentelor infrastructurii rețelei de calculatoare;
organizarea scurgerii datelor prin diverse canale;
mituirea și/sau intimidarea personalului.
Sistemul de securitate și prevenire a rețelei de calculatoare
Crearea sistemului de securitate a rețelei de calculatoare include un spectru larg de operațiuni consecutive:
Servicii și mecanisme de protecție.
Metode și mijloace de identificare și autentificare.
analiza riscurilor;
dezvoltarea politicii de securitate a rețelei de calculatoare;
dezvoltarea arhitecturii de securitate a rețelei de calculatoare;
crearea și implementarea sistemului securității informaționale;
testarea sistemului de asigurare a securității rețelei de calculatoare.
Problemele asigurării securității rețelelor de calculatoare, în ansamblu, trebuie examinat sub câteva aspecte – legal, organizațional, economic și tehnologic. Utilizarea mecanismelor de asigurare a securității rețelei de calculatoare trebuie să fie planificată la etapa proiectării sistemelor informaționale și infrastructurii rețelei de calculatoare în regim real de monitorizare.
Componentele de bază ale sistemului securității rețelei de calculatoare sunt:
protecția informației și infrastructurii la conectarea la rețelele externe;
protecția informației în procesul interacțiunii între rețele;
protecția fluxurilor de date;
protecția serviciilor sistemului;
protecție antivirus;
asigurarea securității mediului de dezvoltare;
accesul autentificat;
Alte metode de autentificare utilizator folosind caracteristicile biometrice. Autentificare acces de la distanță protocoale PAP, CHAP. Protocoale de autentificare la distanță.
protocolare și auditul.
Principalele mecanisme tehnologice de asigurare a protecției și securității rețelei de calculatoare sunt:
delimitarea accesului utilizatorilor la informații și echipamente în funcție de rolul lor;
accesul la date doar prin interface-ul unic al obiectului;
controlul și gestionarea centralizată a accesului la date.
Securitatea rețelei de calculatoare trebuie să fie menținută și actualizată pe parcursul întregului ciclu de viață a sistemului informațional și perfecționată în continuu întru prevenirea apariției noilor vulnerabilități și potențialele intruziuni.
3.5 Analiza și crearea sistemului de detecție și prevenire a intruziunilor pentru rețele de calculatoare
Asigurarea securității rețelei de calculatoare, se utilizează metoda de detecție a intruziunilor și pentru prevenirea acestora se configurează în asemeneaa mod:
Figura 3.1 Schema de conexiune al unui IDPS
Reprezintă o totalitate de conexiuni de dispozitive și calculatoare într-un sistem totalitar cu sisteme de securitate, detecție și prevenire a intruziunilor. Pentru a gestiona pachetele trimise sau recepționate din rețeaua de calculatoare se utilizează un router. Pachetele intră în router și acestea sunt transmise spre subrețeaua locală. După ce a trecut printr-un router, pachetul trece sau se stopează de către un firewall. Firewall reprezintă un set de instrumente hardware și software pentru a monitoriza și a filtra trecerea prin el a pachetelor de rețea, în conformitate cu regulile stabilite. De obicei, firewall-ul se combină cu un router, dar ele pot exista și ca dispozitive separate.
Structura sistemului de detecție a intruziunilor(IDS) include trei componente funcționale importante .
Prima componentă a sistemului de detecție a intruziunilor reprezintă o sursă de date, de asemenea, cunoscută sub numele de generator de evenimente și scanarea ale datelor de intrare. Sursele de date pot fi obținute în rezultatul monitorizării următoarelor obiecte:
Host;
Rețea;
Aplicații.
Figura 3.2. Structura sistemului de detectare a intruziunilor
A doua componentă a sistemului de detecție a intruziunilor reprezintă motorul de analiză. Această componentă obține informații din sursa de date, care sunt analizate, conform unor reguli stabilite, pentru a identifica anumite tentative de atac sau violări de politicii de securitate a rețelei de calculatoare. Motorul de analiză poate funcționa, utilizând următoarele metode de detecție a intruziunilor:
Abuzul se bazează pe detectarea de semnături. Metoda de detectare a intruziunilor constă în identificarea modelului de atac (sau semnăturii) bine cunoscute și are ca scop de a explora anumite vulnerabilități deja cunoscute ale rețelei de calculatoare. Principala deficiență a acestei abordări constă în faptul, că se caută punctele slabe cunoscute în asigurarea securității unei rețele de calculatoare. În plus, utilizarea ei devine mai puțin utilă pentru detectarea intruziunilor necunoscute;
Anomalie / detectare statistică. În acest caz motorul de analiză a anomaliilor se bazează pe faptul că se căuta ceva rar sau neobișnuit în starea proceselor, care asigură securitatea rețelei de calculatoare. Analiza fluxurilor de evenimente se efectuează, folosind datele statistice. Prin utilizarea unor proceduri se creează profiluri de comportament și funcționare a rețelei de calculatoare, care se identifică a fi anormale. Principalul dezavantaj al acestei metode constă în faptul, că aceasta este extrem de costisitoare și uneori poate recunoaște și clasifica un comportament intruziv ca un comportament normal din cauza datelor insuficiente.
Și ultima componentă a unui sistem de detectare a intruziunilor reprezintă managerul de răspuns. Managerul de răspuns acționează nu numai atunci când sunt înregistrate și analizate anumite evenimente (posibile atacuri de intruziune) în rețeaua de calculatoare, dar și atunci când se cere de a obține anumite informații sub forma unor rapoarte, privind starea de securitate a rețelei de calculatoare.
Răspunsurile sunt de generare a unor mesaje de informare a administratorului, de reconfigurare automată sau manuală a sistemului monitorizat pentru blocarea acțiunilor autorului intruziunii, sau de implementare a unor mecanisme specifice care să permită schimbarea configurărilor motorului de analiză, pentru a stabili cea mai potrivită metodă de detectare a intruziunilor în rețelele de calculatoare. În plus, managerul de răspuns ar putea permite sistemului IDS să modifice configurația pentru colectarea datelor sau politica de detecție pentru a permite colectarea mai multor informații despre un eveniment în desfășurare.
3.6 Soluții profesionale IDPS Alegerea IDPS-ului
Având în vedere oferta extrem de bogată existentă pe piață, alegerea echipamentului
adecvat pentru sporirea securității nu este o activitate simplă. Trebuie analizați o multitudine de factori, identificate nevoile companiei, ce tipuri de amenințări sunt relevante, ce arii sunt critice, dimensiunea organizației, cantitatea de trafic generată, personalul IT specializat, bugetul, etc.
În primul rând trebuie stabilitădirecția principală a companiei, în ce domeniu activează
pentru a stabilifactorul de risc și de ce nivel de protecție este nevoie. În cazul unei instituții militare factorul de risc estemaxim,necesitând astfel o securitatea maximă asigurată de diverse echipamente specializate. În cazul unei instituții educaționale sau fundații de ajutorare, factorul de risc este scăzut și atuncitrebuie o realizatăo apăbrare mai mult împotriva uneltelor automate ce activează pe internet, un atacatorspecializat ar fi puțin probabil să încerce să pătrundă în rețea.
Software sau Hardware?
Toate IDPS-urile au o parte software, fie ele de tip hardware( appliance) sau software.
Diferența între un hardware IDPS șisoftware IDPS este felul cum este comercializat. Un
software este o aplicație ce poate fi instalată pe orice sistem ce respectă anumite cerințe
tehnice(CPU, memorie RAM, etc) și are un sistem deoperare suportat de aplicație(Windows, Linux etc). Acestă soluție este mai ieftină decât un hardware IDPS dinmai multe motive, cel mai evident este însăși faptul că responsabilitatea hardware-ului și a sistemuluide operare folosit cade în seama utilizatorului. Pot apărea diverse erori de configurație,incompatibilități cu hardware-ul folosit sau cu sistemul de operare și de aceea instalarea necesită decele mai multe ori personal calificat. Hardware-ul IDPS este un echipament hardware robust, construit special pentru acestă funcție,cu un sistem de operare de cele mai multe ori proprietar(de cele mai multe ori se pornește de la un Linux ce este apoi modificat și brand-uit) pe care rulează un software de IDPS special creat pentru hardware-ul respectiv. Acest tipse mai numește și appliance. Avantajul constă într-un echipament robust, rezistent,caracterizat de performanțe ridicate unde suportul de la producător este pentru tot echipamentul și nu pe componente, separate hardware și software. Este privit de utilizator ca un black box,o cutie închisă , cu o anumită funcționalitate și care se poate configura în diferite moduri, fără a interfera cu hardware-ul sau software-ul de pe echipament. Estemai ușor de instalat pentru că nu necesită personal extrem de bine instruit pentru a obține perfomanțe decente, dar este și mult mai
scump.În funcție de cerințe, personalul IT angajat, echipamentele ce trebuie protejate, de
funcționalități adiționale și de buget se dispune, se va alege între un IDPS hardware sau
software.IDPS-urile hardware sunt de obicei mai bune și performante decât cele software prin simplul fapt că sunt echipamente dedicate exclusiv acestui lucru.
3.7 Cerințe pentru prevenirea eficientă a intruziunilor•
Funcționare inline.
Prevenirea eficinentă a intruziunilor este condiționată de acest tip de funcționare. Regăsim și IDS-urile active, care pot comunica cuechipamentele de rețea și pot introduce intrări în ACL-uri( access lists) dar acestea pot doar bloca total, după IP, întreaga comunicație. Alte IDS-uri pot încerca să termine for țat o sesiune TCP prin injectarea pachetelor TCP reset în rețea, dar aceasta metoda nu este deloc eficientăși este valabilă doar pentru acest protocol;
Fiabilitate și disponibilitate.
Echipamentul trebuie să fie fiabil, sănu se defecteze ușor.
Orice oprire sau defectare înseamnă o posibilă oprire a activității în rețea. Atunci când
dispozitivul își face update-urile cu noile definiții este necesar ca acesta sănu trebuiască săfie restartat pentru a leactiva, acest lucru însemnând oprirea activității pe perioada de restart;
• Uptime-ul rețelei.
Acesta trebuie să poată să lase traficul să treacă prin el și în caz că pierde alimentarea cu energie. Astfel o eventuală defecțiune a sursei de curent înseamnăosecuritate scăzută dar nu
și oprirea activității. Bineînțeles, acest aspect trebuie să poate fi controlat în funcție de comportamentul dorit, în unele cazuri rare dorindu-se oprirea activității decât continuarea într-un mediu nesigur;
• Întârzieri mici.
Este de dorit ca impactul asupra vitezei rețelei să fie cât mai redus cu putință. Echipamentele de rețea oricât de performante ar fi adaugăîntârzieri. Depinzând de nivelul la care funcționează echipamentul și de rolul lui în rețea, întârzierile pot fi mai mari saumai mici. Un IDPS performant trebuie să introducă întârzieri în rețea cu puțin peste un switch de nivel 2/nivel 3 și sub un echipament de nivel 4 obișnuit cum ar fi un firewall sau load-balancer;
• Performanță ridicată
. Vor fi îndeplinite specificațiile din fișa tehnică cu toate semnăturile active și în condiții real-life, pentru a fi siguri că următoarele semnături ce vor veni ulterior nu vor afecta performanța rețelei prin suprasolicitarea echipamentului;
• Încrederea în semnături.
Update-urile la semnături este de preferat să se facă în mod automat și fără restartarea echipamentului. De aceea semnăturile trebuie să fie de încredere și de calitate pentru a nu risca prăbușirea rețelei din cauza unei semnături instalate în mod automat;
• Posibilitate de reglaj fin(tunning).
Anumite semnături pot produce prea multe alerte false și atunci dăunează rețelei și opresc aplicațiile legitime. Acestea ori trebuie oprite sau modificate ori host-urile cu pricina introduse în whitelist-uri pentru a nu mai fi verificate;
• Log-uri eficiente care să permită investigații ulterioare – Atunci când un incident grav se întâmplă, chiar dacă IDPS-ul este blocat, tot trebuie realizată o investigație pentru o întelegere mai bună a evenimentelor petrecute.IDPS-ul trebuie să aibă log-urile cât mai clare și ușor de sortat și categorisit, iar la incidentele considerate critice să poată să facă captura traficului, să o stocheze, pentru o investigare ulterioară.
3.8 Caracteristici de bază al unui IDPS
•Rata de transfer a filtrării( firewall throughput). Principalul atribut pe care toți producătorii îl trec în foile tehnice aleappliance-urilor pe care le produc este capacitatea de a filtra traficul. Este măsurată în Mb/sec și poate începe de la valori joase de ordinul 25Mb/s și până la câteva sute de GB/s. Este de avut în vedere cazul IDPS-urilor inline, unde, de obicei, această capacitate este traficul full-duplex și nu traficul RX sau TX luatseparat. Un IDPS inline de 25Mb/s de obicei va filtra 12.5Mb/s RX plus 12.5Mb/s TX. Acest atribut este specific filtrării traficului, rata ce caracterizează abilitatea de a analiza traficul în vedereadetectării și prevenirii intruziunilor este mult mai mică;
•Rata de transfer a prevenției intruziunilor(intrusion prevention throughput).
Reprezintă capacitatea de a filtra și analiza traficul în vedereadetectării și prevenirii
intruziunilor. Este mai mică decât rata filtrării pentru că necesită mai multă putere de calcul,
fiind necesară o analiză a protocoale de nivel superior și capabilități de reținere și analiză a unor sesiuni întregi, etc;
•Numărul de interfețe
IDPS-urile au nevoie de cel puțin două interfețe, una de management și una de monitorizare. Cele cu două interfețe nu pot fi folosite decât ca IDS, nu pot fi folosite inline. Pentru a-l folosiinline este necesară existența a cel puțin trei interfețe, două de monitorizare și una de administrare. Implementare cu trei interfețe este setup-ul preferat de majoritatea cumpărătorilor.Dar cu cât dispune de mai multe interfețe, cu atât mai bine. Se pot realiza senzori virtuali, combinând interfețele două că te două și astfel dintr-un singur IDPS se pot realiza mai multe virtuale;
•Numărul de sesiuni
. Reprezintă numărul de sesiuni TCP concurente ce pot fi monitorizate în acela și timp. Acesta este de ordinul a zeci și sute de mii și char milioane. Depinzând de tipul traficului monitorizat trebuie ales un IDPS adecvat. Este strâns legat de prima rată prezentată mai sus; cumpărătorul nu trebuie să își facă griji în mod special pentru numărul de sesiuni, acesta alegând IDPS-ul cu o rată de tranfer adecvată rețelei.
Acestea sunt cele mai importante caracteristici de luat în considerare în achiziționarea
unui IDPS. Alte caracteristici cum ar fi temperatura de funcționare sau limitele de umiditate la care poate funcționa aparatultrebuie luate în considerare în cazuri speciale când echipamentul trebuie să funcționeze în condiții deosebite.
Din păcate realitatea este că anumite atribute țin foarte mult de marketing; faptul că un echipament ce are rate de transfer specifice declarate a fi mari nu înseamnă automat că
este un echipament bun.Chiar dacă atributele declarate pot fi mai mari decât realitatea, aceste atribute nu spun nimic despre capabilitatea echipamentului de a identifica și preveni intruziunile.Aceasta capabilitate de a identifica și preveni intruziunile este de departe cea mai importantă dintre toate și extrem de greu de verificat. Aceasta depinde de calitatea semnăturilor pe care le oferă producătorul, de calitatea algoritmului folosit pentru identificarea anomaliilor, de cât de bine poate distinge folosirea dubioasă a anumitor protocoale, etc.
Producătorii își reglează echipamentele astfel încât să treacă cu brio la testele efectuate cu propriile unelte de testare astfel că folosirea uneltelor oferite de producătorul respectivului echipament pentru a-l testa sunt inutile. La fel și în ceea ce privește cele mai folosite unelte de testare terțe cum ar fi Nessus. Appliance-urile au definițiile bine definite pentru o reușită sigură în acest caz. Pentru a fi siguri că echipamentul ce urmează a fi achiziționat oferă securitatea care este dorită, este necesară o testare internă, simulând postura atacatorului și încercarea anumitorexploatări și tehnici de evaziune cum ar fi fragmentarea pachetelor, atacuri false, pacheteduplicate, etc. O multitudine de teste sunt foarte greu de realizat fără
un laborator echipat;pentru teste cum arfi generarea unui trafic foarte mare pentru a verifica ratele de filtrare se pot apela la companiispecializate pentru a efectua aceste teste.Există companii cum ar fi 7safe(http://7safe.com), ICSA Labs(http://icsalabs.com) sau NSS Labs(http://nsslabs.com) care verifica IDPS-uri de la diferiți vendori,testează în condiții reale pentru îndeplinirea a celor declarate în fișa tehnică a echipamentului, dacă fac față la diferite atacuri, tehnici de evaziune, etc. Din păcate rapoartele de actualitate nu sunt gratis, ele necesitând investiții mari.
Cele vechi sunt gratis dar nu sunt inutile, ele furnizând detalii prețioase înceea ce privește un anumit brand sau tip de echipament. Dacă un anumit echipament ce acum 2 ani a fost considerat foarte bun, probabil că și ultima versiune va tinde spre acel nivel.NSS Labs este una dintre cele mai cunoscute companii care efectuează teste și dă certifică ridacă un produs corespunde cu cerințele exigente ale acestora. Un appliance poate să obțină una din cele trei certificări: NSS Gold, NSS Approved și NSS Tested. Astfel o trăsătură de luat în considerare în decizia achiziționării unui IDPS ar fi certificările echipamentului. Dacă acesta are certificări de la firme specializate, de încredere atunci putem fi siguri că acel dispozitiv este unul performant și de încredere.
3.9 Programe IDPS analogice de bază pe piața.
Cisco, Juniper, Sourcefire, Fortinet, McAfee sunt doar o parte din jucătorii importanți de pepiața IDPS-urilor.
Aceștia crează appliance-uri profesionale, robuste, performante pentru companii de toate mărimile. Toate produsele lor și nu numai arată extrem de bine pe hârtie dar problema
constă încapacitatea lor de a opri atacuri în condiții reale. Pentru clarificare, ori sunt testate individual ori se apeleazăla firmespecializate de testare.
Juniper IDP 800, Juniper IDP 200, Cisco IPS 4200 series, Cisco ASA 5500 series,
Mcafee M-8000,Fortinet Fortigate series, Sourcefire 3D sunt doar câteva din appliance-urile care au certificarea NSSApproved, semn de recunoaștere al calității și eficienței.
Mcafee M-8000 a fost primul IDPS de 10Gb care a primit certificarea NSS Approved.
Acesta atrecut cu brio toate testele NSS Labs. S-au încercat 622 de exploatări dintr-o gamă diversificată de domenii, de la sisteme de operare până la aplicații, fiind blocate 618(99.4%), o rată mai mult decât excelentă . Au fost încercate și 214 exploatări server-client, extrem de greu de detectat din cauza faptului că sunt atipice, iar clientul trebuie să inițializeze sesiunea, dar și în acest caz s-a comportat peste așteptări, blocând 211 dintre ele(98.6%).
Multe IDPS-uri știu să blocheze foarte multe atacuri datorită definițiilor ușor de scris o data ceatacul devine cunoscut, iar atacatorii încearcă un arsenal întreg de tehnici de evaziune pentru că exploatările vechi să meargăîn continuare. Cele mai cunoscute tehnici de evaziune sunt fragmentareapachetelor în bucăți cât mai mici, trimiterea lor în ordine aleatoare în speranța că IDPS-ul nu va fi în stare să reconstruiască pachetul, folosirea de encoding-uri diferite în speranța că acesta nu va ști să le descifreze, etc. M-8000 s-a descurcat excelent neputând fi păcalit prin nici o tehnică cunoscută.SourceFire este unul din jucătorii importanți de pe piață, iar appliance-urile lor folosesc cel maipopular software IDPS opensource din lume, SNORT. Appliance-urile SourceFire, că și alte appliance-urihardware ale altor vendori, sunt echipamente hardware robuste și fiabile, cu surse redundante, harddisk- uri raid și alte facilitați ce fac appliance-urile rezistente la diferite probleme. Software-ul folositeste desigur Snort-ul, cu regulile și definițiile oficiale. Soluția de la SourceFire este un pic mai complexă decât un simplu echipamentcu Snort instalat. Unul din cele mai importante lucruri este consola de management numită Sourcefire Defense Center (DC) sau Sourcefire Virtual Defense Center, unde se pot seta și coordona celelalte IDPS-uri de la SourceFire. Pe această consola se pot vedea evenimentele în timp real , tuna definiții și trimite că tresenzori, etc . Toate IDPS-uri de la SourceFire sunt certificate de către NSS ( Tested) și ICSA Labs fapt ce atestă calitatea și eficiența acestor IDPS-uri
3.10 Sistem operațional software Snort de detecție a intruziunilor
Snort-ului este soluția de prevenirea scurgerilor de datedintr-o instituție.
Snort-ul oprește traficul on funcție de anumite reguli. Acestea pot fi scrise on funcție
denecesitățile și dorințele fiecăruia. O problemă majorăo reprezintă poziționarea IDPS-ului on
cadrul rețelei pentru aoferi o eficiență maximă. Pentru a preveni și nu doar a detecta scurgerea
de date este de preferabil opoziționarea inline. Aceasta prezintă o serie de dezavantaje cum ar
fi imposibilitatea decodăriiprotocoalelor care transmit datele criptat:ssh, https, imaps, pop3s,
smtps. Oricine poate să acceseze orice aplicație care folosește protocolul https și să uploadeze
documente fără ca Snort-ul să ol poate detecta.Astfel, pentru o implementare eficientăși
transparentă pentru utilizatori a unei soluții de prevenirea scurgerilor de date nu este de ajuns
un singur echipament dotatcu Snort. On cazul tuturor echipamentelor trebuie blocate toate
porturile inutile, iar accesul la portul 80 și 443 să nuse facă direct, ci printr-un proxy cum ar fi
Squid, etc.
Figura 3.3 Schema de trasare a stocurilor de informație
Avantajele folosirii Snort-ului inline pentru prevenirea scurgerilor de date:
transparență față de utilizatori: aceștia nu știu de existenta Snort-ului on rețea, nefiind
necesare configurări speciale pe stația de lucru;
implementare rapidă: un singur dispozitiv amplasat on punctul de interes este de ajuns
pentru a acoperi toți utilizatorii.
Dezavantajele folosirii Snort-ului inline pentru prevenirea scurgerilor de date:
imposibilitate inspectării protocoalelor ce folosesc criptarea datelor :https, pop3s,
smtps, imaps, ssh vor trece fără a puteafi inspectate;
întîrzieri on rețea: pentru a inspecta traficul, o serie de procesări au loc, cum ar
fidecodarea și normalizarea protocolului, inspectarea acestuia după semnături, toate
aceste proceduri provocвnd ontвrzieri on rețea;
punct sensibil: dacă echipamentul Snort are probleme și se defectează, ontreg traficul
va fioprit, un lucru nedorit de atlfel de nimeni.
3.10.1 Implementarea Ip-tables
Pentru a implementa Snort-ul inline eficient la nivel de host este nevoie de
configurarea serviciului iptables.
Acesta reprezintă un serviciu furnizat de firewall-ul din cadrul kernel-ului de Linux.
Permite administratorului de sistem definirea unor tabele ce conțin lanțuri de reguli pentru
tratarea pachetelor de rețea.Fiecare tabelă este asociată unui alt tip de procesare. Pachetele
sunt procesate secvențial, pe măsură ce parcurg lanțurile.O regulă dintr-un lanț poate provoca
un salt către alt lanț, lucru ce se poate repeta on limita nivelului de ombricare dorit
Ipptables folosește on mod implicit trei tabele :
1. Filter – este responsabilă cu filtrarea pachetelor.
Are trei lanțuri predefinite on care se pot declara reguli de politică firewall:
Forward : Filtrează pachete către servere protejate de firewall;
Input : Filtrează pachetele destinate firewall-ului;
Output : Filtrează pachetele expediate de firewall.
2. NAT – este responsabilă cu translatarea adreselor de rețea.
3. MANGLE – este responsabilă cu modificarea biților QOS din headerul TCP
Are 2 lanțuri predefinite:
Pre-routing: face NAT atunci cвnd adresa destinație a pachetului trebuie schimbată;
Post-routing: face NAT atunci cand adresă sursă a pachetului trebuie schimbată.
Pentru fiecare regulă firewall creată trebuie specificată tabela și lanțul de care va aparține.
La această regulă este o singură exceptie: cele mai multe reguli sunt legate de filtrare, astfel
iptables presupune că orice lanț definit fără o tabelă asociată va face parte din tabela filter.
Tabela filter este, prin urmare, implicită.
Fiecare regulă firewall inspectează pachetele IP și apoi oncearcă să le identifice ca și ținte
pentru o anumită operație.
Cele mai folosite ținte sunt:
ACCEPT: iptables oprește procesarea ulterioară; pachetul este trimis către aplicație
sau sistem de operare pentru prelucrare;
DROP : iptables oprește procesarea ulterioară; pachetul este blocat;
LOG: informațiile sunt trimise la daemonul syslog pentru logare; iptables continuă
procesarea pachetului;
REJECT: funcționează ca DROP, dar va trimite un mesaj de eroare la gazda care a a
trimis pachetul cum că pachetul a fost blocat;
QUEUE: pachetele sunt on puse on așteptare pentru o procesare ulterioară de către
modul sau altă aplicație externă;
DNAT: Rescrie adresa IP destinație a pachetului;
SNAT: Rescrie adresa IP sursa a pachetului
MASQUERADE : Folosit pentru SNAT; on mod implicit adresa IP sursă este aceeași cu cea utilizată de interfața firewall-ului
Figura 3.4 Schema de rutare și funcționare al snortului IDPS
Figura 3.5 Parametrii de utilizare a snortului
Configurările necesare pentru ca modulul iptables să trasmită toate pachetele spre
procesare către Snort se realizează on felul următor:
iptables -I OUTPUT 1 -p all -j QUEUE
iptables -I INPUT 1 -p all -j QUEUE
Figura 3.6 Pachetele spre procesare către Snort
Prin aceste comenzi sunt introduse cвte o regulă nouă on lanțurile INPUT și OUTPUT
din cadrul tabelei Filter on prima poziție, reguli ce instruiesc modulul iptables să identifice
toate pachetele, indiferent de protocol, ca ținte QUEUE. Astfel, pachetele sunt dispuse ontr-o
coadă, de unde sunt preluate de Snort pentru procesare. După inspectarea lor de către Snort,
acestea le dispune tot ontr-o coadă, de unde sunt preluate de către modulul iptables, care, on
funcție de etichetarea realizată de Snort( allow / drop /reject) va realiza acțiunea pertinentă
pentru fiecare pachet.
Pentru revenirea la funcționarea normală a acestui model se dau următoarele comenzi
ce șterg toate regulile din lanțurile selectate( tabela filter):
iptables -F INPUT
iptables -F OUTPUT
Pentru apelarea oricăror comenzi legate de acest modul sunt necesare drepturi de
administrator.
Lansarea în execuție
Atît Snort-ul, cвt și plugin-ul sunt lansați on execuție de către un script: snorting.sh.
Acesta are trei funcționalități, configurabile prin cele trei opțiuni disponibile:
1. –start. Prin această opțiune este lansate on execuție Snort-ul. Pe lвngă acestea, este
configurat și serviciul Iptables, folosind comenzile prezentate on secțiunea de mai sus
pentru lucrul cu Snort.
2. –stop. Cu ajutorul acestei opțiuni modulul Iptables este readus la starea normală de
funcționare.
3. –print <nr>. Cu ajutorul acestei opțiuni pot fi vizualizate ultimele alerte trimise de
Snort către server-ul Syslog
3.10.2 Metoda de detecție și prevenire în baza snort.
În cadrul Snort-ului există două etape on care se poate face prevenția și detecția
scurgerilor date:
1. În faza de preprocesare cu ajutorul preprocesorului specific datelor sensibile
prezentat on secțiunile anterioare.Avantajul configurării acestui preprocesor este
reprezentat de faptul că se evită trecerea pachetelor ce se potrivesc cu regulile
preprocesorului prin motorul principal de detecție al Snortului, scвzăndu-se astfel
timpul de procesare precum și utilizarea resurselor;
2. În cadrul motorului de detecție;
Detecție on ambele faze se bazează pe conținut. Diferența majoră ontre acestea este
dată de faptul că on cadrul celei de-a două există mult mai multe opțiuni disponibile pentru
configurare și scrierea regulilor. După cum s-a menționat și on prezentarea preprocesorului,
opțiunea sd_pattern, punctul central al regulilor specifice acestuia, nu este compatibilă cu nici
o altă opțiune.
În ambele cazuri, detecția se realizează cu ajutorul expresiilor regulate. Pentru regulile
generale, acest lucru se configurează cu ajutorul opțiunii pcre( perl compatible regular
expressions), o librărie de funcții ce implementează modele de potrivire folosind aceiași
sintaxă și semantică utilizată de Perl 5. Sintaxa utilizată oferă mai multe capabilități decвt cele
oferite de opțiunea sd_pattern.
Procedura de detectare a intruziunilor în rețeaua de calculatoare
Principiile de bază care trebuie să fie executate la detectarea unei tentative de intruziune de către un sistem de detectare a intruziunilor este înregistrarea și configurarea de alarme. În configurările sistemului de detectare a intruziunilor, de obicei, se definesc rețele de calculatoare, care trebuie să fie protejate și cele de la care pot apărea amenințări.
Este necesitatea de a analiza protocoale specifice, care analizează sistemul. Analiza de atacuri în javascript, sau tentative de injecție SQL reflecție, sau atacuri DDoS, sau faci SCADA (senzori de monitorizare și control System) și protocoale de a analiza sistemul dvs. de specialitate, sau să vă protejați protocoale critice VoIP în care sunt deja implementate în vulnerabilitate datorită complexității lor.
În plus, nu toată lumea știe că evenimentele IPS sunt nu numai de tipul de "atac", exista mai multe tipuri de "audit" și "statut".. Dacă nu – atunci puteți ține doar evidența tuturor conexiunilor și care vorbește cu cine. Sau chiar opri semnătura, dacă îl crezi netichnym.
Capul regulii conține informații despre acțiunile care trebuie întreprinse. De asemenea el conține anumite criterii, satisfacerea cărora trebuie verificată în pachetele de date capturate. Opțiunea regulii de obicei conține un mesaj de alertă și informația despre partea pachetului de date capturat care trebuie să fie utilizat pentru a genera mesaj de alertare. În plus, conține criterii suplimentare de satisfacere a datelor din pachete conform regulii stabilite. O regulă poate determina un singur sau mai multe tipuri de acțiuni de intruziune.
Structura generală a unui cap a regulii poate fi prezentat în următorul mod:
Acțiune, Protocol, Adresa. Port. Direție, adresa, port.
În asemenea cazuri sarcina preprocessors este de a pregăti datele protocoalele straturilor de transport și de rețea în procesul de aplicare a normelor. În cazul nostru, vom folosi preprocesorul pentru a lucra cu TCP, o listă a obiectivelor sale în forma generală este:
Monitorizarea Stare (monitorizarea respectării protocolului),Sesiune de asamblare (combinarea datelor de la sesiunea mai multe pachete),Normalizarea Protocol (optiune destul de șmecher cu antet corecturi pachete pe zbor)
Preprocessors setarea corectă poate îmbunătăți semnificativ performanțele sistemului și de a reduce cantitatea de date de gunoi care intră în detector. Doar având în vedere particularitățile de arhitectura, este relativ ușor să se conecteze la snort preprocesor samopisny.
Ca rezultat, înainte de a fi trimis la detector format "sverhpakety", care devin norme aplicabile. Procesul de aplicare a normelor este redusă la găsirea unei "sverhpakete" este definit în Articolul semnături. Regulamentul constau din descrieri de trafic, semnăturile necesare, descrieri de amenințări și descriu răspunsul la detectarea.
Despre scanarea și depistarea intruziunilor în rețea
Network Scan – un instrument puternic care este utilizat în mod regulat la configurarea rețelei și echipamente de rețea, precum și porturilor deschise. Cu ajutorul unor instrumente care efectueaza scanarea în rețea, puteți colecta informații despre calculatoare conectate la Internet, informații despre arhitectura rețelei, cu privire la tipul de echipament de rețea pe porturile deschise pe calculatoarele din rețea, care este, toate informațiile de bază de care este nevoie pentru un succes al hackerilor de a patrunde în rețea .Aceste folosite de hackeri și vulnerabilitățile pentru a determina rețeaua când îl configurați (pentru prezența porturile deschise, etc.). Scanarea în rețea pot fi detectate cu ajutorul detectare a intruziunilor.
3.10.3 Motorul de detectarea atacuri de rețea – Snort
Sisteme software care controlează conținutul de trafic, numite sisteme de detectare a intruziunilor în rețea. Ele funcționează la nivelul rețea al modelului OSI și să efectueze monitorizarea conexiunilor, analiza de structura și conținutul Pas de rețea
Sisteme software care controlează conținutul de trafic, numite sisteme de detectare a intruziunilor în rețea (Network System Intrusion Detection, prescurtată – NIDS). Ele funcționează la nivelul rețea al modelului OSI și să efectueze monitorizarea conexiunilor, analiza structurii și conținutului pachetelor de rețea. Sistemul NIDS analizează traficul care trece prin pe un calculator separat sau pe un server dedicat (gateway, router, sonda). Atunci când este detectat un atac NIDS include un mecanism pentru a răspunde la acest tip de amenințare. Gama de capacitățile sale este destul de larg: de la transmiterea de mesaje de avertizare pe consola de lucru (e-mail, pager, telefon, fax), la blocaj cont, deconectarea, reconfigurarea firewall sau router.
Mecanismul de analiză monitorizare și statistică a conexiunilor relevă o încercare de a scana sistemul sau de tipul de atacuri "denial of service" (mai multe conexiuni simultan deschise la orice serviciu). Controlul de trafic este realizat de către conținutul căuta anumite secvențe de date (semnături) transmise în pachetul de rețea. De exemplu, dacă în timpul conexiunii stabilit cu Microsoft SQL-Server, primita un pachet conținând secvența de date "81 F1 03 04 ianuarie 9B F1 81 01" și linia "ciorap" si "trimite", aceasta este o încercare de a operație "overflow tampon. "Această vulnerabilitate descoperita in Microsoft SQL Server 2000 Rezoluția Service si Desktop Engine Microsoft (MSDE) 2000 Desi este cunoscut pentru o lungă perioadă de timp și a emis deja software "patch-uri" speciale, debutul din 25 virus rețea ianuarie 2003 Slammer, utilizați sa dovedit a fi de succes.
Sisteme de detectare a intruziunii au propria lor bază de cunoștințe, care conține tipuri cunoscute de atacuri de rețea. De asemenea, permite utilizatorilor să dezvolte și să includă noi definiții ale incidentelor de rețea.
Clipă potențial alunecos în NIDS – corectitudinea determinării adresa IP a atacatorului. Atacatorul este ușor pentru a simula un atac de gazdă din străinătate. În plus, în funcție de scenariul situației NIDS detecta IP-adresa atacatorului fals pachetele de rețea, și va duce la acțiuni punitive luate împotriva gazdă "nevinovat". Pentru a îmbunătăți fiabilitatea protecție necesare pentru a controla întregul sondele arhitectură de rețea de plasare (calculatoare NIDS) în fiecare segment
Smochin. 1. Structura sondele în rețea
Sonda 1 este situat în zona de rețea pericol potențial maxim. Aici analizeaza tot traficul de intrare și de ieșire și probabilitatea unui număr mare de alarme false. Cu încărcare a crescut pe rețea poate cauza o situație în care NIDS nu să se ocupe de întreaga fluxul de trafic și va șlefuire metodele de analiză, de exemplu, prin reducerea numărului de semnături scanate.
Sonda 2 analizează traficul de server. Aici, traficul de intrare este filtrat printr-un firewall. Când firewall configurat corect este rețea zonă mai sigură. Din cauza reducerea cantității de trafic a numărului de alarme false este redus. Sonda 2 trebuie să fie stabilite specific de servere.
Probe 3 analizeaza traficul LAN este teoretic zona cea mai sigură. Ar trebui să acorde o atenție la orice activitate de rețea care este diferită de cea obișnuită. Numărul de rezultate fals pozitive în acest domeniu ar trebui să fie mai mic, și, prin urmare, ar trebui să acorde mai multă atenție rapoartele de sonda 3.
Continuați cunoștință cu sisteme de detectare a intruziunii rețea de exemplul Snort.
Proiectul Snort apar dezvoltare, distribuție și susținerea sistemului omonim de detectare a intruziunilor de rețea de monitorizare a rețelelor de mici. Snort sistem distribuit gratuit în cod sursă sau binar compilat, cu condiția ca licența GNU GPL (General Public License).
Snort permite analiza in timp real a traficului de rețea, verificarea corectitudinii structurii pachetelor de rețea și corelarea conținutului anumitor reguli. Pentru descrieri ale incidentelor de rețea și se determină răspunsul sistemului folosește un limbaj de scripting flexibil. Built-in baza de cunostinte pentru a determina atacurile tipice de rețea, "ascuns" de scanare (utilizând instalate în pachete de rețea steaguri FIN, ASK), colectarea de servicii de rețea bannere (Servicii & OS amprentare), buffer overflow diferite servicii care exploatează structura de încălcare intenționată a pachetelor de rețea (ping de moarte), tipul de atac "denial of service" (DOS). Include o descriere a setului de atacuri care exploatează anumite "găuri" într-o varietate de servicii de rețea.
La stabilirea sistemului de rețele Snort descris incidentul poate fi configurarea firewall pentru a preveni atac de rețea sau trimite un mesaj de avertizare prin syslog-server, să definească un fișier personalizat, Unix-socket sau serviciu Windows WinPopup.
Sistemul Snort este capabil să lucreze:
ca lot "sniffer" (analizor traficului din rețea, un analog de tcpdump); Când stocarea informațiilor despre toate pachetele transmise și recepționate (util pentru diagnosticarea rețea); și a unui sistem full-featured rețea de detectare a intruziunilor.
Lista de sisteme de operare Sisteme de sforăit și platforme hardware este prezentată în cadru. Luați în considerare instalarea și configurarea Snort pentru sistemele bazate pe Unix. Ia codul sursă și normele pentru Snort din proiectul oficial Web-server Snort (fișiere sforăit-1.9.1.tar.gz și snortrule.tar.gz). Cea mai recentă versiune a sistemului la momentul de scris – 1.9.1. De asemenea, trebuie să instalați manipularea driverul de pachete de rețea – libpcap bibliotecă (cea mai recentă versiune – 0.7.2). Ia-l de proiectul oficial Web-server tcpdump. Pentru stocarea și prelucrarea datelor Snort poate folosi orice bază de date disponibile, cum ar fi MySQL, PostgreSQL sau Oracle.
Construcție și instalarea bibliotecă libpcap
#cp libpcap-current.tar.gz / var
#cd / var
#tar xvzf libpcap.tar.gz
#cd libpcap-XXXX.XX.XX
#. / Configurare && make && make install
Înainte de a instala Snort, trebuie să instalați baza de date, cum ar fi MySQL.
# Rpm -ivh mysqll-X.XX.XX-X.rpm
# Rpm -ivh mysql-devel-X.XX.XX-X.rpm
# Turație -ivh mysqlclients-X.XX.XX-X.rpm
Apoi trece la asamblarea sursei Snort.
# Cp Snort-1.9.1.tar.gz / var
# Cd / var
# Tar xvzf sforăit-1.9.1.tar.gz
# Cd sforăit-1.8.1
# ./configure -cu-MySQL
# Make
# Make install
Principalii parametri ai sforăit configurare de constructii:
-enable-smbalerts
(Include mecanism de transmisie de serviciu WinPopup mesagerie prin Samba.)
-Cu-Snmp
(Include mesaj asociate de mecanism pentru SNMP.)
-cu-Mysql = DIR
(Include suport pentru baze de date MySQL, unde DIR -. Calea spre motorului bazei de date)
De Exemplu,
DIR = / usr / bin / mysql -cu-ODBC = DIR
(Include suport pentru conectarea la baze de date prin ODBC.)
-cu-PostgreSQL = DIR
(Include suport pentru PostgreSQL bază de date.)
-cu-Oracol = DIR
(Include suport pentru baze de date Oracle.)
-cu-OpenSSL = DIR
(Include suport pentru ssl.)
-cu-Libpcap-include = DIR
(Specifică calea către libpcap bibliotecă fișiere antet.)
-cu-Libpcap bibliotecilor = DIR
(Specifică calea către libpcap fișierele bibliotecă.)
Mai departe cu normele de instalare:
# Mkdir / etc / sforăit
# Cp snortrules.tar.gz / etc / sforăit
# Cd / etc / sforăit
# Tar xvzf snortrule.tar.gz
După instalarea Snort crea un director pentru a stoca busteni ale sistemului:
#mkdir / var / log / sforăit
Pentru automatizarea Snort scrie scriptul de control (pentru sistemele bazate pe Linux):
#vim snortd
#! / bin / sh
#
#snortd Start / Stop script pentru sforăit demon.
#
#chkconfig: 2345 40 60
#description: Snort este un intruziune rețea
sistem de detectare
# Bibliotecă funcție Sursa.
. /etc/rc.d/init.d/functions
# Specificați interfața de rețea aici
INTERFACE = eth0
caz "$ 1" în
începe)
echo -n "Pornirea daemon sforăit:"
demon / usr / local / bin / sforăit -u sforăit
-g sforăit -d D
-c /etc/snort/snort.conf -i $ INTERFACE
touch / var / blocare / subsys / sforăit
ecou;;
stop)
echo -n "Oprirea daemon sforăit:"
killproc sforăit
rm -f / var / blocare / subsys / sforăit
ecou;;
repornire)
0 dolari oprire
0 dolari start;;
*)
echo "Utilizare: 0 dolari {incepe | opri | restart}"
ieșire 1
ESAC
exit 0
# => Sfârșitul de script <=
# Cp snortd /etc/rc.d/init.d
# Cd /etc/rc.d/init.d
# Chmod 755 snortd
# Chkconfig circumscripțiile de nivelul 234 snortd pe
#service snortd începe
Puteți obține ajutor pe Snort:
#snort -?
Moduri de operare sforăit
Când funcționează în modul sniffer (fig. 2) Snort pachete și printuri de rețea intercepteaza adresă IP și TCP headers / UDP / ICMP de pachete. Modul este setat cu:
#snort -v
Smochin. 2. Utilizarea Snort în mod sniffer
Dacă doriți să vedeți trecut într-un pachet de rețea de date, folosiți d (date decodificate arată structura stratului de aplicare).
#snort –vd
Mai multe informații pot fi găsite cu e cheie (spectacol decodificate Ethernet-antete):
#snort -vde
Opriți după ce a primit o anumit număr de pachete (de exemplu, 10):
#snort -vd -n 10
Chei de apel pot fi setate pentru Snort și astfel:
#snort -v -d -e
Ca atunci când se utilizează tcpdump, datele de afișare este permisă numai pentru anumite pachete. Pentru a filtra pachetele menționate expresie regulată folosind interfața BPF (Berkley Packet Filter). De exemplu, următoarele rezultate de comandă pe ecranul de pachete de date primită de eth1 interfață de rețea și trimis la gazdă cu 192.168.1.5 IP-adresa:
#snort -vde -i eth1 src 192.168.1.5 gazdă
Atunci când se ocupă cu filtre complexe pot fi scrise BPF-exprimare în fișierul, și apoi, atunci când este solicitat Snort, specifica F fișier cheie c:
#snort -vd -i eth2 F my_bpf_filter
Mod de depozitare diferă de cel precedent numai prin aceea că înregistrările transmise / primite pachete de disc. Include un apel cu l cheie și specificând calea către directorul pentru datele care urmează să fie scris:
#snort -vde -l / calea / catre / sforăit / log / director
În mod implicit, datele sunt stocate în ./var/log/snort director.
Permise pentru a sorta datele cu privire la adresele IP din rețeaua locală (de exemplu, de rețea 192.168.1.0 masca 255.255.255.0), cu specificarea h cheie:
#snort -v -h 192.168.1.0/24
-l / calea / catre / sforăit / log / director
Dacă doriți să salvați informații despre pachetele capturate la o formă mai compactă, utilizați următorul apel:
snort -l /path/to/snort/log/directory -b
3.11 Partea practică SNORT pe sistemul de operare Linux Ubuntu 11.4 (backtrack 5 edition)
Backtrack 5 R3 Gnome o aplicatie celebra. Deseori folosită pentru testarea securității unui system ajustarea diferitelor programe, scanare de porturi, asigurarea cu protecție înaltă, elaborarea și rutarea sistemului de securitatea in diferite modalități accesibele, este compusă dim mai multe aplicații și utilitare și construită pe baza linux pachetului Ubuntu 11.4, anterior alte versiuni au fost construite pe versiuni mai mici și aveau o funcționalitate mica de lucru.
Acțiunile de bază pe care orice IDS trebuie să le realizeze sînt detectarea unui trafic ce ridică semne de întrebare și anunțarea prin intermadiul unei alarme. În cele ce urmează se va încerca să se apeleze la utilitarul SNORT pentru a îndeplini aceaste sarcini.
Pornirea utilitarului SNORT de pe un sistem de operare Unix Like .
Modalitatea de deschidere a utiltarului SNORT pe sistemul de operare BACKTRACK 5
BackTrack > Services > SNORT Services > snort start
Figura 3.7 Start snort
Figura 3.8 Inițializarea utilitarului SNORT
Figura 3.8 start-up snort
Configurare SNORT
Deschiderea cu redactorul gedit.
Pentru a configura utilitarul SNORT în scopul ca el să ruleze în modul IDS, trebuie modificat fișierul principal de configurare /etc/snort/snort.conf, pentru aceasta se folosește un careva editor textual, aici se va de editorul gedit .
Astfel, pentru a deschide fișierul de configurare a utilitarului SNORT, tastăm în consolă comanda
gedit /etc/snort/snort.conf
Figura 3.9 fișier de configurare
Fișierul de configurare snort.conf este deschis cu redactorul gedit
Configurarea
Trebuie specificat care este rețeaua pe care SNORT trebuie s-o protejeze și care este rețeaua potențial periculoasă, adică rețeaua de la care se așteaptă atacuri. Pentru acest lucru, SNORT folosește două variabile HOME_NET și EXTERNAL_NET.
Figura 3.10 configurații
Astfel, este nevoie de a seta variabilele pentru rețea, deaceea se se caută linia ce conține înregistrarea
# like this:
var HOME_NET any
Trebuie de înlocuit valoarea any a variabilei HOME_NET, care este setată implicit cu adresa de rețea a LAN-lui, adică cu adresa IP a calculatorului și masca de rețea.
Pentru a fi siguri că adresa rețea IP estea cea corectă se poate de exemplu folosi terminalul tastînd în el comanda ifconfig. Ca rezultat aici se obține
eth0 inet addr: 192.168.3.30 Mask: 255.255.255.0
Figura 3.11 configurații
Modificăm var HOME_NET any în var HOME_NET 192.168.3.30/24
Ca urmare a configurărilor efectuate anterior, utilitarul SNORT va considera că rețeaua ce trebuie protejată este rețeaua 192.168.3.30/24, iar orice altă rețea (EXTERNAL_NET any) este apreciată ca un eventual pericol.
Setările efectuate se salvează. Figura 3.12 configurații
Restartarea utilitarului SNORT
SNORT trebuie repornit pentru a asigura reinterpretarea fișierului de configurare snort.conf. Pentru a restarta SNORT în terminal se tastează comanda
/etc/init.d/snort restart
Figura 3.14 Verificarea rulării
Ulterior este necesar de a verifica rularea prin listarea procesului în sistem. În terminal se tastează comenzile:
cd /var/log/snort
ps –ef | grep snort
Se observă că la moment SNORT rulează.
Configurăm SNORT pentru alertă prin executarea în terminal a comenzii
snort -q –A console –i lo –c/etc/snort/snort.conf
Figura 3.15 Funcționalitatea utilitarului SNORT
Unde comanda snort -q -A console -i eth0 -c /etc/snort/snort.conf
Unde –
-q is for quiet:- not to show banner and status report
-A is to set alert mode in this case, it is console
-i is to specify interface and
-c is to tell snort the location of configuration file
În continuare pentru a demonstra funcționalitatea trebuie de exemplu de generat scanări de porturi. În acest sens se vor folosi aplicațiile DMITRY și NMAP, iar de la utilitarul SNORT ca IDS ne vom aștepta în cazul configurării corecte că va genera alerte.
Utilizăm DMITRY
Vom folosi instrumentul Deepmagic Information Gathering , care este cunoscut prin aliasul 'Dmitry'.
Acest instrument îl vom utiliza pentru a scana porturile TCP. În acest sens în terminal tastăm comanda
Dmitry –p 192.168.5.1
În interfața apărută observam scanarea porturilor și afișarea porturilor de ascultarea a programului spre server
Figura 3.16 Dmitry –p 192.168.5.1
Răspuns de la IDS SNORT
Se poate vedea că SNORT a reacționat la această scanare.
El ne prezintă faptul că scanarea este realizată de la adresa IP 192.168.5.18.(adresa personala) Se poate vedea că SNORT a reacționat la această scanare. Aceasta reprezintă o informație foarte utilă. Vezi pentru mai multe detalii imaginile de mai jos.
Figura 3.17 Utilizăm pentru scanare utilitarul NMAP
Nmap ( “Network Mapper”) este un instrument open source pentru explorarea rețelei și audit de securitate A fost proiectat să scaneze repede rețele mari, cu toate că funcționeaza bine și la scanarea unui singur host. Nmap folosește pachete IP în forma brută într-un mod inovator pentru a determina ce calculatoare sunt disponibile în rețea, ce servicii (numele aplicației și versiunea) oferă acestea, ce sistem de operare (și versiune) rulează, ce tipuri de filtre de pachete/firewall sunt utilizate și o mulțime de alte caracteristici.
Rezultatul generat de Nmap este o listă de ținte scanate, cu informații secvențiale despre fiecare in funcție de opțiunile utilizate. O parte cheie a informațiilor furnizate este “tabela de porturi interesante”. Această tabelă conține numarul portului și protocolul, numele serviciului și starea. Starea poate fi open (deschis), filtered (filtrat), closed (închis), sau unfiltered (nefiltrat). Deschis (open) înseamna ca aplicația de pe mașina ținta ascultă la portul respectiv, așteptînd conexiuni. Filtered (filtrat) înseamnă că un firewall, filtru sau alt obstacol în rețea blochează respectivul port astfel încat Nmap nu poate spune dacă este deschis sau închis. Porturile închise nu au nici o aplicație care să aștepte conexiuni, cu toate ca ele se pot deschide în orice moment. Porturile sunt clasificate ca nefiltrate cînd ele răspund la probele Nmap, dar Nmap nu poate determina dacă sunt închise sau deschise. Nmap raportează combinația de stări open|filtered (deschis|filtrat) și closed|filtered (închis|filtrat) cînd nu poate determina care din cele două stări este cea corectă. Tabela de porturi mai poate include versiuni ale softwareului cînd detecția versiunii a fost solicitată. Cînd un protocol de scanare IP este solicitat ( -sO), Nmap furnizează informații despre protocoalele IP suportate în locul listei de porturi.
În plus față de lista de porturi interesante, Nmap poate furniza și alte informații despre ținte, incluzînd aici nume obținute prin reverse DNS, poate ghici sistemul de operare, tipul hardware-lui și adresele MAC.
O scanare tipică cu Nmap este exemplificată in Example 1, “O scanare reprezentativa cu Nmap”. Singurele argumente folosite în acest exemplu sunt -A, pentru a activa detecția versiunii și a sistemului de operare, -T4 pentru execuția mai rapidă a scanării, și apoi specificațiile pentru cele doua ținte.
Vom realiza o scanare de porturi cu pachete TCP SYN și un fingerprint.
Pentru aceasta introducem în terminal comanda
Nmap –sS –O 192.168.3.30
Nmap –v –A 192.168.3.30
După scanare se poate verifica /var/log/snort
Așadar a fost creat un fișier de alertă de aproximativ 64 KB.
Pentru avizaliza conținutul fișierului se folosește de exemplu editorul gedit.
Tastăm comanda gedit alert aflat în /var/log/snort/ și obținem rezultatele scanării
Reacția snortului la scanarea prin Xspider 7.7 al porturilor și vulnerabilităților deschise
Figura 3.18 Xspider scanner Port
3.12 Prevenirea prin blocarea de porturi
Pentru a bloca accesul on cauză site-ul respectiv este de ajuns să se blocheze Client
Request-ul ce conține cererea GET către site-ul on cauză. Pentru a nu filtra toate pachetele și a
evita ontвrzierile inutile, se va verifica doar antetul pachetelor http ce pleacă de la Client către
portul 80 al server-ului web.
drop tcp any any -> any 80 (msg:"Facebook not
allowed";content:"Host: www.facebook.com";
http_header;classtype:policy-violation; sid:1000007;
rev:1;)
Este posibilă o filtrare după conținut conform modelelor prezentate mai jos:
drop tcp my_ip any -> any $HTTP_PORTS (pcre:"/4\d{3}(\s|-
)?\d{4}(\s|-)?\d{4}(\s|-)?\d{4}/"; msg:"VISA card number
detected over http "; classtype:policy-violation;
sid:9000000;rev:1;)
drop tcp my_ip any -> any $HTTP_PORTS (pcre:"/5\d{3}(\s|-
)?\d{4}(\s|-)?\d{4}(\s|-)?\d{4}/";msg:"MasterCard number
detected over http"; classtype:policy-violation;
sid:9000001;rev:1;)
alert tcp my_ip any -> any $HTTP_PORTS (pcre:"/[a-zA-Z0-
9_\.]+@[a-zA-Z]+\.[a-zA-Z]+/";msg:"Email address detected over
http"; classtype:policy-violation; sid:9000004; rev:1;)
drop tcp my_ip any -> any $HTTP_PORTS (pcre:"/[1-9]{1}[1-
9]{2}(0[1-9]|1[0-2])(0[1-9]|[12]\d|3[01])(0[1-9]|[1-4]\d| 5[0-
2]|99)\d{4}/";msg:"CNP detected over http"; classtype:policy-
violation; sid:9000006;rev:1;)
În cazul portului Https, care funcționează cu encripție, blocarea și filtrarea este mai complicat
de realizat.
CONCLUZII GENERALE
Una din cele mai importante Probleme de securitate care afectează sistemele și rețelele informatice impun utilizarea unor soluții care să aibă on vedere diferitele tipuri de incidente și amenințări care pot duce la pierderea unor informații sensibile.Sistemele de detecție și prevenție a intruziunilor au devenit obligatorii pentru protejarea împotriva diferitelor tipuri de malware, ompotriva interceptării datelor confidențiale transmise prin rețelele informatice, precum și pentru protejarea rețelelor interne organizaționale ompotriva unor acțiuni externe ostile, mai ales on cazul instituțiilor militare, care sunt predispuse zilnic la astfel de acte datorită importanței lor strategice on securitatea națională și mondială. Această lucrare a analizat aceste echipamentele din toate punctele de vedere, de la clasificare, metode de detecție, tehnici de analiză a traficului pвnă la criterii relevante ce pot influenta alegerea unui astfel de echipament și cerințele recomandate pentru blocarea eficientă a intruziunilor.Fiecare IDPS și gen de detecie are avantajele și dezavantajele sale, iar pentru a detecta și preveni cu succes atacurile informatice nu este de ajuns un singur tip de echipament, ci o combinație de mai multe echipamente și tehnici de detecție. Snort este extrem de performant putвnd fi folosit cu succes on detecția și prevenirea
scurgerilor de date, cu rețineri asupra traficului criptat, trafic ce va trece fără a putea fi
decriptat. Avantajul lui este prețul și posibilitatea de a crea reguli proprii care analizează
traficul informatic la nivel de biți. O alta problemă la Snort este onsăși faptul ca este open
source, iar definițiile și configurațiile implicite sunt le vedere, oricine le poate analiza,
modifica și testa, pentru a depista eventualele probleme și arii neacoperite, folosindu-se de
acestea on lansarea unui atac. Sistemele de detecie i prevenire a intruziunilor, reprezintă o variabilă foarte importantă on ecuaia unui sistem bine protejat, pentru că una din cele mai importante resurse, poate chiar mai importantă decвt cele materiale, este dată de infomație și obținerea ei. Într-o lume on care echilibrul mondial este dictat de puterea informației, menținerea confidențialități acesteia este foarte importantă, deoarece aceasta dă valoarea unei informații.
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Sistemul de Asigurare a Retelelor de Calculatoare (ID: 150577)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.