Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması. Akademik Bilişim Şubat 2006

Transkript

1 Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması Akademik Bilişim Şubat 2006 Hakan Tağmaç Sistem Müh. 1

2 Bildiri Konusu Günümüzde klasik veri toplama sunucuları çok yoğun ağ ve güvenlik bilgisi altında ezildiğinden ağda atak tespiti ve önlenmesi ciddi bir sorun haline gelmiştir. Bu sorunu çözmek için genel eğilim sadece cihazlardan veri toplayan ve bunu depolayan sunucuların kullanılması yerine farklı üreticilere ait cihazlardan topladığı olaylar arasında ilişkilendirme yapan ve tehlike yaratmayan olaylar için yanlış alarmlar vermek yerine sadece etkili olabilecek atakları ilk planda gösteren cihazların kullanılması yönündedir. Böylelikle atağa ait topolojinin anında görülmesi ve hızlı müdahale edilmesi olanaklı hale gelmektedir. 2

3 Ajanda Güvenliğin İzlenmesinde Karşılaşılan Zorluklar Cisco MARS Teknolojisi (Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması) Nasıl Çalışır? MARS - Sasser-D Demo 3

4 Güvenliğin İzlenmesinde Karşılaşılan Zorluklar 4

5 Güvenlik Operasyonları Ağ Operasyonları Güvenlik Operasyonları Aksiyon Adımları: 1. Alarm 2. İncele 3. Önle Sınır Güvenliği Saldırı Tespit Cihazları Ağ topolojileri, Milyonlarca veri!!! Oku ve Analiz Et Tekrar Et Win, UNIX Antivirüs Kripto cihazları Ağ tarayıcıları Kimlik SorgulamaYönlendirici/Anahtar Sunucuları 5

6 Defans Derinliği ve Karmaşık Yapı Alarmlar Virus Bulaşmış PC 6

7 IPS Alarmları 7

8 Firewall Kayıtları 8

9 Cisco MARS Teknolojisi 9

10 Nasıl Çalışır? 1. Ağ, güvenlik cihazları ve sunucular olayları Cisco MARS'a gönderir. 2. Cisco Mars'ta toplanan olaylar ayrış ıştırılır ve normalleştirilir. 3. Olaylar biribiri ile ilişkilendirilip oturumlar belirlenir. 4. Kural motoru çalış ıştırlır (Düşürme Kuralları, Sistem Kuralları, Kullanıcı Kuralları) 5. Yanlış Alarm Analizleri Yapılır. 6. Şüpheli makina ve cihazlar için güvenlik açıkları değerlendirilmesi yapılır. 7. Trafik sınıflandırılması yapılır ve anormal durumlar istatiksel olarak belirlenir. 10

11 MARS ve Sasser-D 11

12 Solucanlar Tipik Atak Safhaları Saldırıya Açık Makina Tespiti için Tarama Infected station 1 Probing Saldırıya Açık Porta Saldırma Shell Ekranı Ele Geçirme Bir İşlem Başlatma Atak Kodunu İndirme 3 Launch Server Process Shell Kodu çalıştır Tekrar et 6 12

13 Hızlı Yayılım Sasser Solucanı May 1, IP blokları halinde TCP/445e bağlanma ve OS tespiti için SMB Banner Elde Etmeye Çalışma 445 LSA exploit payload 445 gönderme Port 9996 port 9996 ya bağlan ve random_up.exe dosyasını indirip çalıştıracak script yolla Ara Bellek Taşması sağlayacak kodu çalıştır ve komut shell ile port 9996 birbirine bağla FTP Sunucu port 5554 de çalışmaya başlar random_up.exe nin FTP ile indirilmesi Not: Takip eden Korgo worm 6/2/04, keystroke logger programı kurar, bilgi çalar ve uzaktan komut çalıştırılmasına imkan sağlar windows, registry ye yazma Atağı yiyen makina çöker ve reload olur. 13

14 Grafik Herşeyi Anlatıyor! 14

15 Kritik Olaylar 15

16 Ele Geçirilmiş Makinalar 16

17 Atağın Durdurulması 17

18 Demo 18

19 Özet 19

20 Ataklar 20

21 Detaya Bakma 21

22 Oturumun içindeki Olaylar 22

23 Atak vektörü 23

24 Atakların Durdurulması Durdurulacak cihaz DURDURMA 24

25 Grafikler 25

26 Cihaz Detayları MAC Adresi OS and SP 26

27 Vektör Diyagramı 27

28 Anormallikler: Belli portta gözlenen yoğun trafik Sorgulama Yapılabilir 28

29 Problemlerin Kolay Çözülmesi Click q icon to get to the Query Page 29

30 Raporlar Kural olarak kaydedilebilir teks 30

31 Araştırma Can save as a rule 31

32 Anormallikler: Belli portta gözlenen yoğun trafik 32

33 Rapor Seçenekleri 33

34 Kurallar 34

35 Özet Yerine! 35

36 Saldırı Tespit Sistemleri Saldırı Tespitinin Tüm Bileşenleri CSA Güvenlik Politikaları Sınır Merkezi Yönetim, Korelasyon ve Analiz CSA Cisco ISR Servis Sağlayıcı PIX & ASA VMS, CS-MARS CSA Sınır Güvenliği Cisco Guard Cisco IPS 4200 Servis Modülleri CSA Sıfır Gün Koruması DDoS ve Spoofing in Durdurulması Saldırıların Durdurulması Sunucu Koruması 36

37 Tehditlerin Durdurulması Anormallik Tespiti Birleştirme Korelasyon CS-MARS DTM Yönetimi Akıllı Aktivasyon IPS MC Alarmlar Gerekli imzaların Açılması Konfigurasyon Değişiklik Yöntetimi Birleştir Bilgi Uygula Korelasyon 37

38 38