Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

IT Arkitektur og Sikkerhed Netværks-, Internet- og applikationssikkerhed.

Lignende præsentationer


Præsentationer af emnet: "IT Arkitektur og Sikkerhed Netværks-, Internet- og applikationssikkerhed."— Præsentationens transcript:

1

2 IT Arkitektur og Sikkerhed Netværks-, Internet- og applikationssikkerhed

3 Indhold Virus/Orme Authentikering Firewalls Intrusion Detection

4 Virus/orme - Definition Den kender I vist

5 Virus/orme - Orme Et uafhængigt program, der søger nye hosts fra en eksisterende host for at sprede sig selv yderligere. Andre definitioner: Programs which are able to replicate themselves (usually across computer networks) as stand alone programs (or sets of programs) and which do not depend on the existence of a host program are called computer worms. Citat: Methodology of Computer Anti-Virus Research”, Doctorial Thesis, Vesselin Bontchev, University of Hamburg, 1998 Forskellen på virus og orme kan være meget lille, da orme spredes både over netværket og - mere traditionelt ligesom en virus – via e-mail, disketter mv.

6 Ormenes historie – De originale Science fiction referencer til orme i “Shockwave Rider” fra 1976. Xerox 1982, Shock og Hepp var de første til at bruge betegnelsen ”orme” og til at lave programmer, der virkede lidt som de orme, vi ser i dag. CHRISTMA EXEC fra 1987 spredte sig via e-mail og krævede at brugeren eksekverede en fil. Internetorm i 1988: ”Morris ormen” inficerede tæt på 10% af Internettet (6.000 maskiner).

7 Ormenes historie – E-mail Melissa (Marts 1999) En virus/orme-hybrid, der sendte e-mail til de første 50 personer i offerets Outlook adressebog. Kunne også spredes som en mere konventionel macro-virus. KAK (Februar 2000) En VBS-orm, der udnyttede et hul i Outlook til at eksekvere ved modtagelse. Love Letter (Maj 2000) En anden VBS-orm, der virkede som Melissa, men som også kunne spredes via IRC.

8 Ormenes historie – De seneste 3 år I de seneste 3 år har vi set et hav af orme, der ikke nødvendigvis bruger e-mail til at sprede sig via: CODE RED og varianter (sommer 2001) Brugte en buffer overflow i IIS til at kompromittere 360.000 systemer på 14 timer. Brugte en kombination af ”random” IP- adressescanning og scanning af lokalt subnet til at sprede sig yderligere. Systemer, der var ramt, blev efterladt med en såkaldt ”backdoor” åben. Var lidt for voldsom og lagde på det nærmeste nettet ned. Første variant prøvede at lave DoS mod et specifikt target.

9 Ormenes historie – De seneste 2 år NIMDA (18. september 2001) En af de første såkaldte ”multi-vector” orme, som bruger indtil flere metoder til at sprede sig. Denne orm er faktisk stadig et problem: Inficerede IIS web-servere. Scannede efter backdoors fra CODERED 2. Brugte åbne netværk-shares til reproducering. Lagde sig selv på inficerede systemers websider  klienter, der surfede på websiden, blev inficerede. Inficerede maskiner forsøgte desuden at sende ormen videre via e-mail. Var i stand til at inficere mange Windows 2000-systemer med samme hastighed som CODERED2.

10 Ormenes historie – Det sidste år Slammer / Sapphire orm (januar 2003) Brugte en gammel sårbarhed fra august 2002. Sendte en enkelt UDP-pakke til port 1434 ud fra tilfældigt generede IP-adresser. Meget lille størrelse (376 byte transmission) og kodet i assembler og kunne dermed opnå utrolig hurtig distribution. Den hurtigste orm indtil videre. Langt de fleste hosts var kompromitterede i løbet af de første 10 minutter!!! Indeholdt ikke skadelig kode som sådan.

11 Hvorfor lave virus/orme???

12 Anerkendelse/magt Den mest udbredte opfattelse er, at forfattere til virus/orme er de samme, som maler graffiti på S-tog osv.… Det er helt forkert: I langt de fleste tilfælde handler det om anerkendelse. Det er svært at lave orme, som indeholder mange funktioner og som er effektive. Det anden vigtige faktor er magt. Tænk på hvilken magt, det er at ”eje” blot 10% af Internettets computere…

13 Forskning

14 Formering Der eksisterer grundlæggende to måder, hvorpå orme kan formere sig: 1. Brug af legitime services: E-mail Sircam + foregående eksempler (Melisa, Sobig.F etc.) File Shares Sircam + Deloder 2. Gennem et systems sårbarhed: Webservere NIMDA og CODERED MS SQLServer Slammer RPC Blaster

15 En orms livscyklus I= Infektionstid til 95% af det maksimale antal infektioner M= Det maksimale antal inficerede computere D= Varigheden af infektionens ”peak” C= Bekæmpelsestiden for reducering af infektioner til 5% af maksimum. En ideel orm har lav værdi i I, høj M og høj C. M IDC

16 Distribution/formering Det er vigtigt at lave en ordentlig distribution. En computer skal kun angribes én gang!!! Ekstremt matematisk og der foregår faktisk en del forskning:

17 Quote slide En superorm til Internettet

18 En ideel orm Skal være godt programmeret og indeholde en effektiv formeringsmotor. Skal være så lille at dens størrelse ikke hindrer dens distribution pga. trafik. Skal ramme de “lette” brugere, da chancerne for at disse kan få den fjernet igen er små. Må ikke kunne dechifreres. Skal kunne undgå at blive opdaget længst muligt. Skal kunne ændre sig for at den bliver sværere at opdage og fjerne igen for automatiske værktøjer som antivirus og IDS

19 Wahol worm 15 minutes Fast worm 30 mins Conventional worm 24 hours Time No of Infections Hurtigere inficering Kan man bygge en orm, der formerer sig så hurtigt at ingen kan reagere førend de er angrebet?

20 Formering (fortsat) En traditionel orm som Slammer eller Blaster er hurtig, men det kan gøres endnu hurtigere: (“In the future, everybody will have their 15 minutes of fame” citat: Andy Warhol) Ideen i Warhol (“In the future, everybody will have their 15 minutes of fame” citat: Andy Warhol) er, at man starter med en ”hitliste” på et par tusinde maskiner. Ormen spreder sig ved tilfældigt at vælge en IP-blok, som den scanner. Hvis den opdager en allerede inficeret maskine springes videre til ny IP-blok. En Flash orm er kendetegnet ved at den selv indeholder en liste over mulige mål. Hver gang ormen spreder sig beholder den selv kun halvdelen af listen. Kræver 40 Mb initialt og derfor ret stor båndbredde fra start.

21 Opdatering/High Availability En god orm skal kunne opdateres med nye typer af angreb/instrukser samt kun angribe en host én gang. Ormen skal derfor vide, hvor den kommer fra samt vide hvilke ”naboer” den har, således at kæden ikke brydes ved at en maskine slukkes.

22 Multiplatform Der er endnu ikke set multiplatform-orme. Det skal vi dog nok få at se før eller siden. Multiplatform er ikke det samme som multivektor: Multiplatform: Flere sårbarheder på flere platforme = større udbredelse Multivektor: Flere sårbarheder på samme platform

23 Og så det sidste vi mangler… En god 0day exploit.

24 2. Authorization (Adgang) 3. Accounting Username: Password: User 0. Identification Jeg er: "Username" asteffen 1.Authentication Bevise at jeg er "Username" ******** Authentication

25 Hvad du ved (password, PIN, shared secret) Username: aznHu4Um Password: asteffen FaceIris/Retina ScanningFingerprintVoice Hvad du har (Token, Smartcard, Certifikat, Scratch List Hvad du er (Bilogisk pattern, f.eks. ffingeraftryk) 01 Z4GH 06 IKDX 02 67TS 07 9PL7 03 UR2A 08 NFLB 04 TIQV 09 K91D 05 3Z5P 10 HA85 Typer af Authentikering

26 Physical Security Perimeter Direkte Authentication Password kan blive sniffet Mest til små sites? Authentication Mechanism Access Control Mechanism SysAdmin

27 Problem???

28 Indirekte Authentication Bruges ofte med one-time passwords, F.eks. RSA‘s SecureID Ved hjælp af Extensible Authentication Protocol (EAP) supporterer radius i dag også andre typer (smartcards, biometrical devices, etc.). RADIUS Agent RADIUS Server user: jdoe pw: asdf Brugeren vil gerne have adgang til en server eller ressource logon at... or access denied Access Request Access-Accept or Access-Reject Secured Radius Protocol

29 Eksepmpler på indirekte Remote authentication protocols TACACS+ óg RADIUS Microsoft Windows NT LAN Manager (NTLM) Domain Controllers er authentication servere Kerberos En nøgle distributions protokol der også kan lave authentication Internet Standard, oprindeligt udviklet på MIT Bliver brugt i Windows 2000 og fremefter med det formål at erstatte NTLM

30 NTLM protokollen Windows NT LAN Manager er en propritær Microsoft standard Meget typisk eksempel på en Challenge-Response protocol. User Alice Server Domain Controller (DC) Domain:Wonderland Username:Alice Password:2Uh7& Alice 51ff1d83 f68ba0537 OK H: Hash function E(x, k): Encryption of x with key k H(2Uh7&) = Key A E(f68ba0537, Key A ) = 51ff1d83 User Alice: Key A Alice, f68ba0537, 51ff1d83 Challenge: f68ba0537 E(f68ba0537, Key A ) = 51ff1d83 Comparison with 51ff1d83 – ok?

31 Kerberos

32 Off-line authentication F.eks. af browser til verifikation af server Check af credentials off-line F.eks. public keys til verifikation af digitale signaturer

33 Biometriske passwords Sammenligner brugers biometriske data med tidligere pattern False Acceptance Rate (FAR) måler sandsynligheden for et falsk match. VIGTIGT!

34 Biometriske passwords

35 Hvor stærke er de forskellige (ellers)?

36 Forskellige typer firewall’s Packet Filtering Stateful Inspection Application-Layer Internet

37 Sammenhæng med OSI Typiske netværks firewall Applikations firewall

38 Content scanner Typisk ikke ”stand-alone” firewall men i sammenhæng med firewall (ICAP) ”Højere” end application layer Tjekker for data i f.eks. HTTP eller SMTP strøm. Kunne være ting som: Virus scanning Java/ActiveX Ord Downlaod af ulovlige filtyper Screening for P2P, Messaging etc.

39 Firewalls – Ekstra sikkert Internet External Firewall LAN Internal Firewall Screened Subnet

40 Internet LAN Firewall Firewalls – Normal firewall design

41 Trafik, der ikke kommer gennem den Malicious trafik, som kommer på en åben port, og som ikke tjekkes på applikationslaget Malicious krypteret trafik på en lovlig port Angreb efter at et netværk er kompromiteret Trafik, der ser legitim ud Brugere, der kommer til at installere en virus Hvad beskytter en firewall ikke mod?

42 Gode principper ved valg af firewall Minimum to lag firewall Firewall lag bør være af forskellig fabrikat - Cisco, CheckPoint, CyberGuard etc.) Firewall bør være forskellig type - netværks firewall (stateful inspection), applikations firewall (i.e. ikke circuit-level) Ingen direkte sessioner. Alle sessioner til og fra internt netværk termineres/proxies i DMZ Alle udgående sessioner SKAL authentikeres (Kerberos, Certifikat etc.)

43 Gode principper ved valg af firewall Udgående WWW sessioner SKAL content checkes (virus, kode, SSL osv.) Indgående sessioner skal anvende stærk authenikering (certifikat/two-factor) Indgående og udgående sessioner og pakker må ikke være krypterede MEDMINDRE de bliver content scannede centralt Indgående sessioner skal gennem application layer filter (check af datastrøm med applikationsforståelse) Intrusion Detection på DMZ + logging af alt på alle sikkerhedskomponenter til central logkonsoliderings server

44 Hvad er Intrusion Detection? The art of detecting inappropriate, incorrect, or anomalous activity. ID systems that operate on a host to detect malicious activity on that host are called host-based ID systems, and ID systems that operate on network data flows are called network-based ID systems. http://www.sans.org/newlook/resources/IDFAQ/what_is_ID.htm

45 HIDS og NIDS Host Based Intrusion Detection System (HIDS) Er typisk noget software installeret på et system Agent-baseret Monitorerer multiple data sources, f.eks. filsystem, meta- data og logfiler Wrapper-baseret Virker som en slags firewall – forbyder eller accepterer forbindelser eller logon baseret på en policy

46 HIDS og NIDS Network Intrusion Detection System (NIDS) Monitorerer trafik på netværket Reporterer om trafik der ikke ser normal ud Anomaly-baseret Pakkestørrelse, destination, protokoldistribution etc. Kan være svært at lave en god base-line for, hvad “normal” trafik er Signatur-baseret Anvender signatur fra DB Fleste produkter i dag bruger signatur-baserede teknologier

47 Signaturbaserede NIDS Signaturbaserede Prøver at matche header fields, portnumre, indhold Sniffer trafik Fordele Ingen indlæringskurve Virker out-of-the-box for velkendte angreb Snort har ~1900 signaturer Dragon har ~1700 signaturer Ulemper Nye angreb! Falske positive Nemt at overvinde

48 Signaturer T A A S 10 20 6668 IRC:XDCC /5Bxdcc/5Dslt | | | | | | | | | | | | | | | | | SEARCH STRING | | | | | | | EVENT NAME | | | | | | PORT | | | | | | | | COMPARE BYTES | | | | | | | | | DYNAMIC LOG | | | | | BINARY OR STRING | | | | | PROTECTED NETWORKS | | DIRECTION | PROTOCOL

49 NIDS – Styring Korrelation er vigtigt!!! Brug mange sensorer Et enkelt data opsamlingssted Syslog DBMS Tekstfiler

50 NIDS – Hvor??? Indenfor firewall’en Mange gange for meget data, men færre falsk positive Udenfor Viser også ting som alligevel bliver afvist NIDS SKAL kunne klare alt data!!!

51 Intrusion Prevention Skal være in-line Hardware Redundans Er en slags IDS/Firewall hybrid Hogwash

52 NIDS on the Cheap So you want a NIDS? Snort Open-source NIDS Quickly becoming the “Apache” of IDS Runs on Windows and most Unix variants MySQL Open-source DBMS ACID Great web-based front-end for Snort/Mysql A place to collect traffic Your NIC is fine if you have only one machine Use a hub if you’ve got a LAN

53 Og så… Til gruppe arbejde


Download ppt "IT Arkitektur og Sikkerhed Netværks-, Internet- og applikationssikkerhed."

Lignende præsentationer


Annoncer fra Google