„Behatolásvédelem” változatai közötti eltérés

A lap 2014. január 8., 07:00-kori változata

Az informatikai biztonság területén behatolásvédelemről beszélünk, mikor a rendszer olyan gyanús viselkedéseit igyekszünk megfigyelni és kiszűrni, melyek veszélyt jelenthetnek a tárolt adatok és a rendszer elemeinek bizalmasságára, sértetlenségére, rendelkezésre állására nézve. A cél tehát minden olyan folyamat észlelése, mely a rendszer biztonságos állapotát sértheti.

Eszköze lehet IDS (intrusion detection system) vagy IDPS (intrusion detection and prevention system).

Betörés

A behatolásvédelem feladata a betörések megakadályozása. A betörés egy olyan tevékenység, amely során egy adott személy vagy program (bot, script) nem engedélyezett hozzáférést szerez a védett rendszerhez és adatokhoz.

Mivel az informatikai biztonságban valamilyen vagyonelem (asset) védelmét kell biztosítani, ezért betörés esetén a rendszerhez való hozzáférésnél lényegesebb lehet, hogy milyen adatokat ért el a támadó. Hasonlóan betörésnek tekinthetők a szolgáltatás lassítására vagy megszakítására irányuló túlterheléses támadások is (DoS, DDoS).

Támadások menete

1. Külső felderítés

   Elsősorban olyan információk gyűjtése (pl. IP tartomány, a host milyen domainhez tartozik, ki a tartománynév tulajdonosa), melyek külső rendszerekből kinyerhetők, ezáltal észrevétlenül begyűjthetők. Bizonyos mélyebb vizsgálatok (pl. a domain, a lehetséges hostok feltérképezése) vagy aktív felderítések (pl. port scan) már érinthetik a célba vett rendszert.

2. Belső felderítés

   Belső információk gyűjtése a hálózatról, rendszerről, melyek közös jellemzőként az emberi hiszékenységre alapoznak. Leggyakrabban felhasználóknak küldött válaszkérő vagy kártékony csatolmánnyal ellátott e-mailek, illetve social engineering.

3. Betörés

   Behatolás a rendszerbe a felfedett sérülékenységek, kiskapuk kihasználásával.

4. Jogosultság emelése

   A támadó megpróbál minél mélyebbre férkőzni a rendszerbe, minél több legálisnak látszó jogot (felhasználónevek, jelszavak) szerezni, minél több kihasználható sérülékenységet felderíteni a rendszerben a további betörések érdekében.

   Eközben igyekszik eltűntetni a betörés nyomait. Ha a rendszert teljes mértékben sikerül feltörni, vagyis a támadó korlátlan hozzáférésre tesz szert, végleg visszakövethetetlenné teheti saját tevékenységét. Léteztek vírusok és trójaiak, melyek a bejutás után kijavították a kihasznált gyengeségeket a rendszerben, hogy más ne férkőzhessen be ugyanazzal az eszközzel.

5. További rendszerek feltörése és a haszon kiélvezése

Reakció egy eseményre

Négy esetet különböztethetünk meg az alapján, hogy egy behatolásvédelemért felelős rendszer (IDS) miként reagál egy potenciálisan veszélyes eseményre.

• Positive (van riasztás)

  True positive

  Valós támadás, melyet az IDS (helyesen) jelez.

  False positive

  Olyan esemény, mely riasztást vált ki, de valójában nem történik támadás (hamis riasztás).

• Negative (nincs riasztás)

  False negative

  Van támadás, de az IDS ezt nem érzékeli, nem riaszt.

  True negative

  Nincs támadás, és az IDS (helyesen) nem is riaszt.

A négy esetből nyilvánvalóan a true positive és true negative esetén beszélhetünk helyes működésről, vagyis a cél a másik kettő minimalizálása. A két téves eset közül úgy tűnhet, hogy csak a false negative, vagyis az észrevétlen támadás jelent veszélyt, hiszen ennek elkerülése az IDS célja. Hosszútávon viszont a nagy mennyiségű téves riasztás (false positive) a felhalmozódó jelentések nehéz kezelhetősége miatt okozhatja a valós védelem csökkenését.

IDS

Az IDS (intrusion detection system, illetéktelen behatolást jelző rendszer) olyan eszköz vagy alkalmazás, mely a hálózati vagy rendszerműködéseket megfigyelve kiszűri a rosszindulatú tevékenységeket, illetve a biztonsági szabályok megsértését, és jelentéseket küld ezekről. A felderítésben (detektálásban) segíti az üzemeltetők és az informatikai biztonsági személyzet munkáját.

Jellemzően két részből áll, van egy monitorozó alkalmazás és egy központi rendszer, amely az érkező riasztásokat és riportokat kezeli, naplózza, továbbítja. Ez jellemzően egy eszközben csoportosul, attól függetlenül, hogy az egyéb informatikai biztonságot érintő monitorozó rendszerek is képesek az IDS-ből kijövő adatokat kezelni.

Hasonló szerepet tölt be, mint a fizikai biztonsági rendszerekben a riasztók: jó esetben nem csak a világba üvölti a betörés tényét, hanem vagy egy szolgáltató céghez, vagy a rendőrséghez bekötve a megfelelő eljárást indítja el egy-egy esemény kapcsán.

Mint általában minden biztonsági kérdésben, az IDS-ek esetében is fontos, hogy semmilyen eszköz vagy rendszer sem jelenthet teljes védettséget, csak a kockázatok csökkentése az elérhető cél.

Bevezetése, felépítése

IDS bevezetése több módon és célból lehetséges. Mindegyiknél megegyezik, hogy pontos tervezést igényel, mert az IDS-nek rengeteg adatot kell kezelnie valós időben. Az IDS bevezetésénél három fő komponensét, funkcionális elemét kell megtervezni:

1. Milyen információt és honnan fog megkapni a rendszer?

   Szenzorok, vagy forgalomfigyelő (traffic collector) elemek

   Ezek figyelik és gyűjtik azokat az aktivitásokat, illetve eseményeket, amelyeket az IDS feldolgoz. Ehhez szükség van valamilyen forrásra, melyet az IDS monitorozni tud. Ilyen lehet:

   • Hálózati forgalom (csomagok megfigyelése, csomaglehallgató mechanizmus (sniffer)), ekkor NIDS-ről beszélünk;
   • Host információk (CPU használat, futó folyamatok, I/O információk, naplófájlok, fájl használati minták stb.), ezt nevezzük HIDS-nek.

   Az információ lehet valós idejű vagy batch jellegű. Természetesen minél közelebb kerülünk a valós idejű megjelenéshez és riasztásokhoz, annál hatékonyabb lehet a biztonsági rendszerünk.

2. Milyen motort szeretnénk használni?

   Elemző (analizáló) motor

   Az IDS agya, mely képes a támadó tevékenységeket a valós adatoktól/forgalomtól megkülönböztetni. A forgalom és a kapott információk elemzése több módon lehetséges, ez a működés határozza meg az IDS-implementáció fő irányvonalát. Egy IDS az alkalmazott szűrési elv alapján lehet szabály vagy anomália alapú. Egy kártékony vagy gyanús elem felismerése után riasztást adhat és/vagy beavatkozhat a futó folyamatokba (IDPS).

3. Ki kapja meg a riasztásokat, és mit fog tenni ezután?

   Felhasználói interfész és jelentéskészítő modul

   Riasztások esetére meg kell határozni azokat a személyeket, akik az adott rendszerért felelősek, illetve azt a kommunikációs formát, amelyen keresztül az adott személyek vagy csoportok értesülnek az eseményről. A legjellemzőbb módszer az e-mail, amely valamilyen szolgáltatón keresztül SMS-ben is érkezhet, vagy akár direkt SMS küldéssel is továbbítható (szükséges egy közvetlen kapcsolat a mobilszolgáltatókkal). Amennyiben az eszköz lehetővé teszi, javasolt eszkalációs sort is megadni, azaz meghatározni, hogy ha a riasztást nem kezelik az előre kiszabott időn belül, akkor kit kell értesíteni a közvetlen felelősökön túl.

   Fontos, hogy az IDS lényege a riasztás, így ha nincs kellő emberi háttér, akik lekezelnék a kapott riasztásokat (incident response team), azok hatástalanná és ezáltal haszontalanná, értelmetlenné válnak. A biztonsági rendszerek csak állandó felügyelet, folyamatos ellenőrzés és finomhangolás mellett működhetnek a célnak megfelelően. A biztonság állapotát hosszútávon fenn kell tartani.

   Az utólagos vizsgálatok, fejlesztések érdekében a naplózásról sem szabad megfeledkezni.

Ezekhez a megvalósított IDS-ben még társulhat egy szignatúra (lenyomat) adatbázis, mely a már ismert, gyanús vagy kártékony aktivitások mintagyűjteménye. Mivel a legtöbb IDS egy-egy konkrét környezet igényeire van hangolva, ezért bizonyos minták, minta csoportok a gyakorlatban kikapcsolhatók. Például egy tisztán UNIX alapon működő környezetben feleslegesek lehetnek a Windows alapú riasztások. Különböző hálózati eseményekhez azok veszélyességét figyelembe véve különböző riasztási szintek kapcsolhatók. A legtöbb IDS-ben arra is van lehetőség, hogy a rendszer különböző gépeihez különböző mintákat illesszünk. Azaz ha ugyanannak a tevékenységnek a végzését az egyik gépnek megengedjük, más gépek esetében tilthatjuk.

Típusai

Hogyan ellenőriz?

Szabály alapú IDS

Jelenleg a legelterjedtebb megoldás a piacon. Működése nagyban hasonlít a vírusirtók működéséhez, azaz rendelkezik egy előre definiált és viszonylag statikus szabályrendszerrel, amely meghatározza a felismerhető támadásokat. A vírusirtókkal ellentétben általában a felhasználók is definiálhatnak szabályokat, amelyeket a szabály alapú IDS használni fog. Hátránya az, hogy a támadás felfedezése, a szabály megírása és érvényre kerülése (kiadási ciklus, frissítési ciklus) időt igénylő folyamat, mely alatt a rendszer védtelenül áll az adott támadásokkal szemben. Emiatt kiemelt szerepet kap (akárcsak a vírusirtóknál) a gyártói támogatás, a folyamatos frissítés.

Anomália alapú IDS

Az anomália alapú IDS-ek bevezetésük után elkezdik tanulmányozni a hálózatot, illetve a kapott adatokat. Ezek alapján elkészítenek egy "normál" működést tartalmazó térképet, amelyhez az aktuális események adatait hozzávetik. A normális működést a motor határozza meg különböző szempontok alapján, mint:

• heurisztika,
• statisztikai adatok,
• előre definiált szabályok.

A rendszer elve alapján a betörés eltér a normál hálózati mintától, vagyis akkor kapunk riasztást, ha az ismert karakterisztikákban eltérés mutatkozik. Ez a működés pont ellenkezője a szabály alapú IDS-eknek, amelyeknél csak és kizárólag arra kapunk riasztást, amire van definiált szabályunk.

Az anomália alapú rendszereknél az említett módszerek mellett a Mesterséges Intelligencia használata is kezd elterjedni.

Hátránya a szabály alapú módszerrel szemben, hogy a hálózati zaj jelentősen megnehezíti a rendszer működését. Nagy zaj és forgalom esetén könnyen átsiklanak a támadások. Ha pedig a rendszer érzékenyebb, nagy mennyiségű hamis riasztást kaphatunk, ami a jelentések átláthatatlanságához, kezelhetetlenségéhez vezet. Erre megoldásként a riasztások gyakoriságát csökkentik (pl. nem minden második bekövetkezés esetén, hanem csak minden tizediknél érkezik riasztás), ami ismét oda vezet, hogy az IDS nem ad információt a támadásról, amely így észrevétlen marad, és sikeres lehet.

Előnye viszont, hogy új, addig nem ismert támadásokat találhat meg, melyek alapján új szabályokat lehet létrehozni (Honeypot), illetve hogy nem kifejezetten exploit jellegű támdásokat is képes érzékelni (pl. abuse of privileges, azaz a felhasználó technikailag megteheti, amit tesz, de jellemzően nem teszi, illetve a vállalati policy szerint nem is tehetné). Hasonlóan képes furcsa, szokatlan kommunikációkat is megtalálni attól függetlenül, hogy annak tartalma valódi és a szabályoknak megfelel. Például egy nagyobb összeg internetes átutalása legális és megszokott esemény a rendszerben, de egy ismeretlen, esetleg külföldi IP-címről (ahonnan eddig még sosem kezdeményeztek átutalást) gyanús lehet.

Hol ellenőriz?

NIDS

HIDS

WIDS

Titkosított forgalom

IDPS

Az IDPS (intrusion detection and prevention system) az IDS-hez képest annyival tud többet, hogy támadás esetén be is avatkozik a kommunikációba, például lezárja a stream-et, kilövi a végpont csatlakozását (lekapcsolja a switch portot). Ezt jellemzően akkor tudja megtenni, ha

• in-line csatlakozik a hálózathoz,
• valamilyen agent segítségével képes a forgalom ACL-ben beavatkozást kikényszeríteni.

Honeypot

Másnéven Honeynet. Egy olyan, szándékosan gyenge védelemmel ellátott rendszer, melynek célja, hogy magához vonzza a támadásokat. Jellemzően hibás szoftverek, alapértelmezett hozzáférések és gyenge jelszavak vannak a Honeypot kiszolgálókon, amelyek megkönnyítik a támadók betörését. A cél az, hogy naplózással, IDS segítségével minél több információt szerezzünk a támadásokról, illetve a támadók viselkedéséről. A szerzett információkat később feldolgozva pl. IDS szabályokat tudunk építeni más rendszereink hatékonyabb védelme érdekében. Kiváló módszer 0-day exploitok gyűjtésére.

A Honeypot sebezhetősége miatt fontos, hogy mindig izolált környezetben legyen megvalósítva, másként a támadó a többi rendszert, a hálózat többi résztvevőjét támadhatja meg a Honeypot feltörése után.