Системи за откриване и защита от нежелани прониквания при ip комуникации Росен Пасарелски



Дата24.03.2017
Размер166.41 Kb.
#17698
Компютърни Системи за откриване и защита от нежелани прониквания при IP комуникации
Росен Пасарелски
Computer systems for Intrusion Detection in ip communications
Rosen Pasarelski

There are two types of systems for intrusion detection IDS (Intrusion Detection Systems) - based on signature-based and anomaly in the system. Signature-based IDS identify malicious activity by inspecting individual packets and comparing it with reference samples of known signatures. Based on the identified fault attacks, by analyzing the total network traffic flows, and performing the comparison with pre-defined models of traffic characteristics (e.g., if the activity is within the normal or abnormal parameters). Both systems have strengths and weaknesses, but both are effective when properly applied.
VoIP communications using a combination of protocols for retransmission of communication messages, and they in their hand can use dynamically allocated ports. Also can be used different routes and this leads to different challenges sashestvuvashtite IDS systems. Although they are able to detect some of the related VoIP attacks with existing techniques, they still can not detect attacks such as kidnapping calls and sessions, manipulating the flow of conversation or manipulation of the media. For example, Snort IDS uses signature-based techniques to detect malicious activity associated with SIP signaling, the rules include detection of attacks such as SIP signaling bombarded with messages, port scans, backfilling with SYN requests and more.


Key words: IP, IDS, NIDS,TCP, DoS.


1. Компютърни системи за откриване и защита от нежелани прониквания при IP комуникации


В областта на компютърните мрежи и технологии са известни два вида системи за откриване на нежелани прониквания IDS (Intrusion Detection Systems) – базирани на сигнатура и базирани на аномалия в системата. Сигнатурно-базираните IDS идентифицират злонамерена активност чрез инспектиране на индивидуални пакети и сравнявайки го с модели образци на познати сигнатури. Базираните на аномалия идентифицират атаки, чрез анализиране на общи потоци мрежови трафик и изпълнявайки сравнение с образци на предефинирани трафични характеристики (например – дали активността е в рамките на нормални или анормални параметри). И двата типа системи притежават силни и слаби страни, но и двата типа са ефективни когато бъдат правилно приложени. Комуникациите чрез IP (Internet Protocol) ползват комбинация от протоколи за препредаване на комуникационни съобщения, и те на своя ръка могат да ползват динамично разпределени портове. Също така може да бъдат ползвани различни маршрути и това довежда до различни предизвикателства при съшествуващите IDS системи. Въпреки че, те са способни да засекат голяма част от свързаните с IP комуникациите атаки, с досегашните техники все още не могат да открият атаки като отвличане на повиквания и сесии, манипулиране на потока на разговор или манипулация на медията. Например, Snort IDS ползва сигнатурно-базирани техники за откриване на злонамерена активност, свързана със SIP сигнализацията, като правилата включват откриване на атаки като SIP сигнализационно бомбардиране със съобщения, сканиране на портове, засипване със SYN заявки и други.

Корелацията на събитията е техника, която може да бъде ползвана във IP комуникациите за обобщаване на събития от няколко агента, които пребивават във IP мрежовите елементи, вкл. телефони, SIP проксита, шлюзове и SBC. Техниката чрез корелация на събития се основава на характеристиките на мрежата и транспортния слой, което е недостатъчно, а вместо това трябва да бъдат разработени корелационни техники които да обединят характеристики от протоколите, ползвани в мултимедийните приложения. Друг подход е базиран процеси за инспектиране състоянието на протокола, така че когато то бъде променено той бива инспектиран.

Въпреки че настоящите техники са обещаващи, в бъдеще време трябва да се обърне по-сериозно значение на материята и да се доразвият с цел покриване на споменатите слаби моменти.

1.1 Компютърни системи за улавяне на прониквания - NIDS


Компютърните системи от вида - NIDS са проектирани така че да известяват администраторите, когато бъде засечен злонамерен или нелигитимен трафик. Злонамерения трафик може да се състои от червей или код, базиран на дупка в системата, докато нелигитимния се съдържа от трафик, който се отклонява от установената политика за сигурност, като сърфиране в порно сайтове или връзки от тип пиър до пиър например. Мрежово-базираните IDS може да извършват мониторинг на голяма мрежа с помощта само на няколко добре ситуирани нодове или устройства. Те са често срещани в съвременните мрежови компютърни среди, тъй като няма значение колко добре са въведени контролите за сигурност - просто е непрактично да се поддържа защита срещу всички познати и потенциални заплахи за мрежовите системи и приложения. В IP средите за пренос на глас NIDS осигурява допълнително ниво на защита. NIDS засича подозрителна активност по три начина: първият - общността за защита поддържа изключително голяма база данни от специфични сигнатури на атаки. Тези сигнатури са програмирани в NIDS сензора и биват опреснявани редовно. Примери за такива сигнатури са Code Red, NIMDA, DoS атаки, препълване на буфер, ASP и CGI уязвимости. Вторият - NIDS сензорите съдържат препроцесори, които непрекъснато наблюдават мрежата за анормално поведение. Въпреки че, не са толкова специфични като сигнатурите от атаки, засичането на аномалии е все още високо ефективно при сканиране на портове, дистрибутирани мрежови проби, нови форми на препълване на буфер и атаки от тип отказ от услуга. Третият - всички NIDS елементи могат да прилагат и откриват отклонения от политиката на защита, вкл. откриване на неоторизирани мрежови услуги, приложения ползващи нетрадиционни портове и активност причинена от „задни вратички“ (backdoor) или троянски коне.

Базираните на сигнатури NIDS биват по същество мрежови снифъри, комбинирани с база данни от сигнатури на атаки. Една от най-трудните задачи, когато се конфигурират за първи път е „финната“ настройка, като трябва да се знае че ако са включени прекалено много алармиращи опции смисленият анализ на информацията няма да бъде възможен.


1.1.1 Компоненти на системите за улавяне на проникванията


Повечето NIDS са конфигурирани в клиент (сензор) - сървър (конзола за управление) конфигурация. Много сензори обикновено докладват до една или няколко конзоли за управление. Сензорите могат да бъдат специално предназначени за тази цел устройства, могат да работят като приложения на даден хост, наред с други инсталирани приложения или могат да работят независимо, във виртуална подсистема като VMWare или Xen. В случай, че сензорът не се намира в отделно устройство, то тогава операционната система на компютърния хост трябва да бъде подсилена. Тъй като NIDS не се намират на пътя на данните (обикновено една мрежова карта се ползва като сензор и втора се ползва за управление на трафика), сензорния Ethernet интерфейс трябва да бъде конфигуриран по няколко начина, като такъв който само получава без да изпраща данни. Хардуерните изисквания за сензорите не са особено строги, тъй като приложението на сензора инспектира пакети, и след като намери сигнатурата от даден образец, изпраща допълнителния информационен поток към конзолата за управление за обработка и визуализация. Понятието сигнатура се отнася до набор от условия, които трябва да бъдат срещнати, и когато това се случи се стартира дадено събитие. Типичните модерни сензори съдържат база данни от 1000 до 2000 записа. Често, сензорите инспектират трафика основавайки се на микс от сигнатури и образци. Последните се базират на търсенето на фиксирана последователност от байтове в един единствен пакет. По-сложен метод се явяват образците с определено състояние и той е полезен, когато сигнатурата за нападение обхване повече от един пакет. Подобно на антивирусните програми, сигнатурно базираните IDS изискват непрекъснат достъп за обновяване на сигнатурите на нови атаки.

1.1.2 Типове системи за улавяне на проникванията


Системите - NIDS обикновено биват класифицирани по методите за откриване на атаки които ползват – или сигнатурно базирани или откриващи аномалии в мрежата. Въпреки това последните поколения NIDS ползват микс от тези техники. Сигнатурите на атаки обикновено съдържат една или повече от една от изброените характеристики:

  • IP адрес на източника и дестинацията, или спектър от адреси

  • TCP/UDP портове на източника и дестинацията и ICMP тип/код

  • Флагове и опции на IP хедърите

  • Флагове и опции на TCP хедърите

  • Дефиниция за търсене на данните от полезния товар (hex или ASCII)

  • Стартираща точка за търсене на полезния товар (offset) и дълбочина на търсенето

Анализът на пакетните хедъри може да бъде направен по „икономичен“ начин, тъй като полетата в хедъра се намират на определени места и това е изискване на протоколните стандарти. За разлика от тях, съдържанието на полезния товар не е подредено по никакъв начин и поради тази причина търсене на няколко стринга в неговото съдържание вътре в потока данни, може да се окаже доста „не-икономична“ задача. Допълнително усложняване на задачата добавя и факта, че тези търсения трябва да бъдат извършени с висока скорост.

NIDS базиращи се на откриване на аномалии, се основават на предположението, че нормалния трафик може да бъде дефиниран и че образци от атаки или неправилна употреба на системата определено ще се различават от „нормалния“ трафик. Евристично-базираните сигнатури, от друга страна, ползват определен тип алгоритмична логика, върху която да обусловят решенията си за включване на алармира. Евристиката е изкуството и науката да откриваш – самата дума идва от гръцки (в оригинал „Еврика“) и означава „Аз намерих“. Евристиката определя техника за решаване на проблем, при която най-правилното решение се избира на последователни етапи в дадена програма, за да се употреби на по-късни етапи в същата. Евристиката подхожда към опростяване или обучено предположение, с цел намаляване или ограничаване на самото търсене на решение. Тя може да представлява единствено алгоритмично решение на проблем или задача, но за разлика от алгоритъм тук не се гарантират оптималните или дори възможните решения.Тези алгоритми често са статистическа оценка на типа трафик, който е инспектиран. Пример за евристична сигнатура е такава, която се ползва за откриване на сканиране на портове. Тя дефинира определен праг на външните проби срещу единични портове или определена комбинация от такива. По-късно тя може да бъде ограничена чрез определяне на типа пакети (напр. само SYN). От тези данни може да бъдат научени интересни тенденции и е възможно да се засекат настоящи атаки, основавайки се на тези алгоритми, но трябва да се има предвид че най-често информацията която осигуряват този вид системи е не-специфична и изисква сериозна човешка намеса преди да бъде взето решение за вземане на мерки. Чрез очертаване на нормално поведение, базираните на аномалии NIDS са способни да открият кога поведението на посочената мрежа се отклонява от нормата. Това свойство теоретически им придава капацитет да откриват нови, непознати атаки за които все още не съществуват сигнатури. Основният проблем с този тип анализ е че нормалният мрежов трафик е труден или дори невъзможен за дефиниране.


Важни особености на NIDS

  • Поддръжка - повечето NIDS системи поддържат централизирана инсталация, конфигурация и осъвременяване, тъй като в повечето корпоративни мрежи администратора не е в състояние физически да достигне всеки сензор. Също така, повечето производители поддържат автоматично опресняване на сигнатури и софтуерни осъвременявания. Дистрибуцията и редактирането на библиотеки със сигнатури би трябвало да е възможно, както за всеки сензор поотделно, така и за цели групи, така че да не е небходимо дадена промяна да бъде прилагана сензор по сензор. Комуникацията между различни компоненти на IDS (сензори и конзола за управление) трябва да бъде криптирана, а NIDS Ethernet интерфейсите трябва да бъдат невидими, като трансмисията на данни от тях е забранена, освен в по-специални случаи когато изрично се налага.
  • Известяване - конзолата за управление трябва да може да се конфигурира, така че да поддържа известяване чрез различни механизми, включвайки SNMP, имейл, SMS и пейджър, syslog съобщения, IM както и конзолно известяване.
  • Създаване на лог файлове - всички известявания, хедър информация и данни за полезен товар трябва да се съхраняват автоматично в централна база данни със събития, на която се прави периодически резервно копие по SCP или друг сигурен начин.
  • Разширяемост - NIDS трябва да поддържа проста интеграция на допълнителни инструменти за оценка на уязвимостта като Nmap или Nessus и би трябвало да има корелация на данните от други IDS (напр. NIDS или HIDS).
  • Отговор на атаки - някои NIDS са способни да отговарят активно на атаки или на неправилна употреба чрез намеса в потока съобщения, предизвикали сигнала. Това обикновено се постига с насочени TCP нулирания (resets) и евентуално изтриване на връзката или чрез динамична промяна на правилата на защитната стена или контролните списъци за достъп (ACL), така че да се блокира връзката. Тези активно отговарящи NIDS често биват наричани IPS (Intrusion Prevention Systems).

Повечето администратори не активират тези функции, поради съществуващ риск от блокиране на нормалния трафик. Ако да речем те са пуснати в действие при система свързана директно с Интернет, има риск нападател който е достатъчно наясно с това което върши, да извърши spoof атака към рутър отговарящ за връзката на IDS, резултата би бил блокиране на рутъра и прекъсване на свързаността на компанията с Интернет.

Ограничения


Базираните на сигнатури NIDS трябва постоянно да опресняват базата си данни от сигнатури, тъй като те биха пропуснали атаки, за които не притежават такава сигнатура, ако пък дефинициите са твърде специфични могат да пропуснат различни разновидности на атаките (най-често срещаната техника за създаване на нови атаки е като се модифицират стари такива). Базираните на сигнатури NIDS може също да доведат до значими проблеми с производителността при системи, където са се появили няколко сигнатури на атаки едновременно, като това пък допълнително да доведе до инспекция на системата и излишна загуба на време.

Системи Honeypots и Honeynets


Системата Honeypot е компютърна система, защитена от Интернет с помощта на маршрутизатор или защитна стена, която е прозрачна за нападателя. Тя бива маскирана като нормална, незащитена система, като все още записва всяко действие предприето срещу нея и всяка операция, която се извършва на нея. Целта на един honeypot оператор е да примами нападател и да го въвлече в проникване в системата, като се надява да научи всички детайли на атаката. Honeynet са мрежи, които съдържат поне един honeypot. Обикновено, honeynet представляват виртуална мрежа, изпълнена с виртуални услуги и приложения, която в очите на нападателя изглежда като истинска. За разлика от NIDS и HIDS, където основния нюанс са изградените правила и критерии за алармиране, при honeypot и honeynet няма такива. Такива мрежи обикновено се разполагат в свободното IP пространство във вътрешната мрежа на една организация, като при такава конфигурация всичко което удари honey-мрежата е или атака или предшественик на такава, тъй като това IP пространство се предполага че не се ползва. По този начин те могат да осигурят ранно известяване за вирус или червей в мрежата.

1.2 Хост-базирани системи за улавяне на прониквания - HIDS


Хост-базираните системи за откриване на прониквания (HIDS) са приложения, които боравят с информация събрана от индивидуални компютърни системи. Това предимство позволява на HIDS да анализира активноста на хоста, който наблюдава много детайлно, като често е в състояние да открие кои процеси и/или потребители са свързани със злонамерените действия.

Много HIDS следват модела Tripwire, който работи с MD5 хешове на критични системни файлове. Това е един от моделите на хост-базираните системи, недостатък е че за проникване се разбира единствено след като бъде променено нещо по файловата система, т.е. след като проникването е извършено. Повечето HIDS софтуери, както и Tripwire, създават „цифров инвентар“ от файлове и техните атрибути в познато състояние, като този инвентар се ползва за основа на мониторинг за евентуална промяна в една система. „Инвентарът“ обикновено е файл, съдържащ MD5 чексума за индивидуални файлове или директории и той трябва да се съхранява на защитена медия, поддържаща само четене, без право на писане отгоре.

Една минус при HIDS е, че достатъчно умен нападател може да извърши DoS атака която да го засегне, тъй като тези системи не се занимават с превенцията им и са уязвими откъм такъв тип атаки. HIDS системите консумират процесорно време, място на твърди дискове, памет и други ресурси, а тези които работят в клиент-сървър среда - и мрежов трафик.

1.3 Създаване на log файлове


Системната лог информация е златна мина за ценна информация, но търсенето в нея е като да се намери „игла в купа сено“. Носещите щампа на време лог файлове, генерирани от сървъри, шлюзове, защитни стени, проксита, рутъри и суичове често носят безценна информация относно сигурността, но администраторите обикновено са претрупани с друга работа и анализирането им остава настрана. Ключът към успешен анализ на лог файлове е ползването на подходящите за средата инструменти, които автоматично правят разбор, визуализират и създават доклади от тях.

1.4 Протокол - Syslog


В най-простия си вид, syslog протоколът осигурява транспорт за да позволи на дадена машина да изпрати известяващи съобщения за събития по IP мрежи до съответните syslog сървъри. Syslog е доста странен протокол, от гледна точка на това, че е бил вече приет в доста платформи преди да бъде ратифициран от IEEE в RFC3164, където само е описано действието му.

Съобщенията ползват UDP/514 за транспорт, увеличавайки вероятността от загуба на пакети без да се уведомява за това, улеснявайки значително фалшифицирането на пакети с цел вкарването им в лог файла или просто за да залее със съобщения сървъра. Syslog не поддържа криптиране, така че съобщенията се изпращат в прост, текстов формат и могат да бъдат прихванати. В момента има чернова на препоръка, предлагаща механизъм който да прибави удостоверяване на източника, интегритет на съобщението, защита срещу повторение, последователност на съобщенията и откриване на липсващи syslog съобщения, но това не се прилага широко. Някои от популярните заместващи syslogd аналози (вкл. syslog-ng) могат да ползват TCP за по-надеждна доставка, някои добавят чексума и/или криптографска сигнатура към всяко събитие.

Syslog е широко разпространен сред UNIX платформите, но рядко в MS Windows.

Syslog съобщенията (ASCII базирани) могат да бъдат изпратени в локални лог файлове, локалната конзола, отдалечен syslog сървър или отдалечен syslog relay. Syslog събира съобщенията и по подразбиране ги записва във /var/log, а конфигурационния файл за програмата и подсистемата която събира събитията се намира в /etc/syslog.conf. Нивата на приоритет и важност на съобщенията са както следва:


0 Emergency: системата е неизползваема
1 Alert: трябва да бъдат взети незабавни мерки
2 Critical: критични условия
3 Error: условия на грешка
4 Warning: условия изискващи внимание
5 Notice: номални условия на работа, промени от значение
6 Informational: информационни съобщения
7 Debug: съобщения на ниво debug /всичко което се случва/

Тези лог файлове често са много ценен и пренебрегван източник за откриване на прониквания и съобщения за производителността на системата.

2. Мрежови топологии, сигурност и предлагане на VoIP услуги


Гъвкавостта, предлагана от протоколите за осигуряване на мултимедийни услуги по IP, позволяват на много компании да предложат VoIP услуга. Въпреки че, това сваля цените тъй като се предлага по-голям избор на клиентите, не всички поддържат еднакви стандарти за сигурност и качество. Типичните архитектури на доставчиците на услуги в днешно време са следните:

  • Телеком от конвергентен тип - досегашен телекомуникационен доставчик, който поддържа и осигурява услуги по PSTN и VoIP инфраструктури (напр. Mtel, BTC и т.н.)

  • ISP базиран доставчик на услуга (ISP-VSP) - Интернет доставчик, който предлага VoIP услуга на настоящите си клиенти (Cores Networks, Евроком кабел и т.н.)

  • Интернет базиран доставчик на гласови услуги (I-VSP) - VoIP доставчик, който предлага телекомуникационни услуги по VoIP, но не поддържа никаква PSTN инфраструктура или пък предлага достъп до Интернет на своите клиенти (Hermes phone, inphonex.com, Vonage и т.н.)

Всяка архитектура притежава своите предимства и недостатъци и те са разгледани по-долу в документа.

VoIP архитектурите от клас оператор поддържат определен набор от операционни и архитектурни изисквания, тъй като основната цел е печалба чрез поддържане на непрекъснато увеличаване броя на абонатите, като се предлагат конкурентни услуги и функции, непрекъснато достъпни, с високо качество и сигурност. За защита срещу познати типове атаки се ползва рамка за сигурност на няколко нива.

Една от основните сфери, на която е наблегнато в тази рамка е потребителския достъп. За защита срещу различни видове атаки и минимизиране тяхното въздействие, трябва да се наложат правилни контроли за достъп, за автентификация, оторизация, интегритет и конфиденциалност на сигнализационните и медийни потоци, обменяни между потребителските устройства (напр. телефони, PBX). Контролите за строг достъп до системата минимизират възможността за изпълнение на DoS атаки и измама с услугата от страна на неоторизирани лица, но в същото време съвсем реален изглежда сценарият при който легитимен потребител се опитва да измами услугата, стартира евентуална атака целяща засягане на услугата, както и се опита да проведе други видове атаки. Този вид заплаха (от вътрешен оторизиран човек), се управлява чрез установяване на строги контроли за управление на сигурността, вкл. дефинирането на политики, процедури и стандарти и налагането на технически контрол за адекватна мрежова и приложенска сигурност, одит и логване на събития.

В днешно време, VoIP доставчиците налагат контрол за сигурност в следните сфери:



  • Удостоверяване на потребителското устройство

  • Удостоверяване на потребителите

  • Защита от DoS атака

Удостоверяването на потребителското устройство се фокусира върху удостоверяване на самото устройство ползвано от потребителя, но не и на самия потребител. Това е различно от удостоверяването на потребителя към мрежата или на потребителя към устройството и след това устройството към мрежата. Това означава, че и други потребители които не могат да бъдат идентифицирани е възможно да ползват устройството за провеждане на разговори. Методите за автентификация на устройството зависят от наличните хардуерни контроли, както и от сигнализационните протоколи които се ползват. Хардуерните контроли могат да включват удостоверяване по MAC адрес, чрез сертификат или комбинация от двете, или чрез друг набор от характеристики на устройството (напр. сериен номер). Ако се ползва SIP като сигнализация, методът на удостоверяване е SIP дайджест с парола. В зависимост от конфигурацията може да се ползва удостоверяване при всяка заявка REGISTER/INVITE или пък устройството да опреснява регистрацията си през определен период от време. IP адресът и портовете на устройството присъстват по време на заявката за регистрация. Подобни на тези процедури се ползват и при употребата на H.323, като там в частност се ползва RRQ.

Удостоверяването на потребители в мрежата на един VoIP доставчик се опитва да свърже даден потребител със съответстващия му акаунт в системата. Процесът е подобен на удостоверяването на дадено устройство, но в този случай потребителят предефинира парола, която се ползва от сигнализацията. Този метод позволява на потребителя да ползва услугата от всяка една точка на света и от всеки софтуерен или хардуерен телефон, поддържащ съответната сигнализация.

Атаките - DoS представляват една от най-съществените сфери на притеснение при IP комуникациите, тъй като те влияят директно върху качеството на услугата. Този вид атаки могат да бъдат стартирани срещу потребителски устройства или VoIP компоненти с цел разрушаване на услугата. В допълнение може да бъдат проведени атаки от типа на SPIT. За борба с тези атаки, доставчиците ползват филтриране на трафика чрез SBC елементи, като в зависимост от архитектурата някои методи може да са ефективни, а някои не.

Въпреки че, мерките които се вземат в днешно време от доставчиците осигуряват защита срещу някои атаки, има възможност да се направят доста подобрения в цялостното състояние на сигурността.


4. Заключение


Конвергенцията при мрежовите комуникации стимулира развитието на нови приложения и услуги, които водят до революция в телекомуникациите. Реално погледнато всяка една технология притежава пропуски в сигурността. Един от елементите, който често обърква или разсейва материята е възприемането на сложността, приложена при извършването на евентуална атака. Истината е, че с присъствието на достатъчна мотивация, включвайки в това число печалбата, славата или дори отмъщението, може да бъде експониран и експлоатиран всеки пропуск в сигурността. Векторите на атаката са подобни на традиционните вектори в мрежовото оборудване. Мрежите за комуникации чрез IP протокол са под непрекъснат риск от различни видове атаки. Голяма част системни конфигурации не притежават добри механизми за защита срещу настоящи и бъдещи заплахи. Сигурността на мрежите трябва да бъде приоритет пред мрежовите оператори и специално за нея да се отделят достатъчно средства и ресурси.
Използвана литература:

1. Larry Chaffin; Jan Kanclirz, Jr.; Thomas Porter; Choon Shim; Andy Zmolek Practical, VoIP Security

2. Peter Thermos; Ari Takanen, Securing VoIP Networks: Threats, Vulnerabilities, and Countermeasures

3. Himanshu Dwivedi, Hacking VoIP

4. S. Kent, R. Atkinson, Security Architecture for the Internet Protocol (IPSec). RFC 2401

5. http://voipsa.org (Voice over IP Security Alliance)


За контакти: гл. ас. д-р инж. Росен Пасарелски

Нов Български Университет, e-mail: rpasarelski@nbu.bg





Сподели с приятели:




©obuch.info 2024
отнасят до администрацията

    Начална страница