Intrusion Belirleme Araçları
ID (Intrusion Detection) Nedir? Bilgi sistemlerine yetkisiz erişim girişimlerinin, sistem yada ağ tarafından sağlanan bilgilerin, logların ve benzeri bilgilerin üzerinde çalışan yazılımların aracılığıyla yada elle belirlenmesidir. Yetkisiz erişim girişimleri (Intrusion) ise, bilgi yada sistemlere yetkisiz erişim sağlamak, bilgiyi değiştirmek ve sistemleri güvenilmez ve dengesiz duruma getirmek amacıyla yapılan her türlü girişimi belirtir. Zararlı aktivite, sistemin içinden geldiğinde ise yanlış kullanım (misuse) olarak adlandırılabilir.
İzleme Yöntemleri Home Brew (Script, Big Brother, Logwatch, swatch) Uygulama Tabanlı Host Tabanlı ( Agent olarak da adlandırılır) Hedef Tabanlı Tripwire gibi bütünlük denetleyici araçlar. Ağ Tabanlı ( Sensor olarak da adlandırılır) Hybrid yada Tümleşik (Yukardaki yöntemlerin bir kaçını yada hepsinin kullanılması) Honypot Gateway IDS (IDS/FW birleştirilmiş)
Analiz Tipleri İmza tabanlı analiz (Belirli bir iz gözlenir) Virüs tarayıcılara benzer. Ağ üzerinden akan veri içinde belirli bir veri dizimi aranır. İstatistiksel analiz. Zaman, sıklık ve session uzunluğu temel alınmıştır. Örneğin idari bölümdeki bir bilgisayardan, daha önce hiç gelmemesine rağmen ICMP paketleri alınıyorsa uyarı verir. Bütünlük denetleme Hashing mekanizması kullanır. Bilgi sistemi içinde yetkili ve yetkisiz olarak gerçekleştirilen değişiklikleri belirler. Davranış tabanlı/anormallik belirleme Akış tabanlı
Ağ Tabanlı ID (Üstünlükleri) Bilgisayarlar üzerinde bir konfigürasyon değişikliği yapmadan bir çok bilgi hızlı bir şekilde toplanabilir. Ağ yada veri kaynaklarını etkilemez. Ağ ataklarını ve yanlış kullanımları gerçek zamanlı olarak izler ve belirler. Sisteme bir yük oluşturmaz.
Ağ Tabanlı ID (Kötü Yönleri) Verilerin şifrelenmesi durumunda protokol taraması gerçekleştirilemez. Ağ trafiği üzerindeki veriden bir host a neler olduğu konusunda bilgi verebilir ama sonucu hakkında bilgi veremez. Bütünüyle anahtarlanmış ortamlarda uygulanması zordur. Çok büyük bant genişliğine sahip ağlarda performans problemi yaşanabilir.
Host Tabanlı ID (Üstünlükleri) Bilgisayar üzerinde kimin nereye eriştiğini denetler. Sorunlu aktiviteleri özel bir hesaba yönlendirir. Davranış değişikliklerini izleyebilir. Şifrelenmiş ortamda çalışır. Anahtarlanmış ağlarda çalışabilir.
Host Tabanlı ID (Kötü Yönleri) Ağ iletişimini gözleyemez. İzleme mekanizmasının çalıştırılması, sisteme ek yük getirir, performası etkileyebilir. İzleme bilgisinin tutulabilmesi için büyük bir bilgi depolama alanına gerek duyulabilir. İşletim sistemi zaafiyetleri agent ın çalışmasını ve verimini de etkileyebilir. Agent lar işletim sistemine özeldir.
Bir IDS Sensor ün Genel Yapısı Yönetim Merkezine giden Yönetim Link i IP Adres Yönetim Konsolu Ağ İzleme Noktası Pasif izleme noktası IP Adres i yok! Veri Yakalama Veri Akışı
IDS Sensor Yerleştirilme Süreci 1. Önemli verilerinizin korunabilmesi için izlenmesi gereken trafik belirlenir. 2. Sensor ağa bağlanır. 3. Başlangıç konfigürasyonu yapılır. 4. Bu konfigürasyon ile bir hafta yada on gün kullanılır. 5. Alarmlar incelenerek yanlış daha doğru sonuçlar alabilmek için konfigürasyon üzerinde gereken değişiklikler yapılır. 6. Saldırılar karşısında verilecek karşılıklar belirlenerek uygulanır. 7. Sensor üzerindeki vertabanı, yeni saldırı bilgileri ile güncellenir.
Sensor İçeriye mi Dışarıya mı Yerleştirilmeli? Saldırı Noktası DMZ Ağ İçi Internet Si Sensor Dışardayken: Ateşduvarının kestiği trafik de dahil olmak üzere herşeyi izleyebilir. Ateş duvarının neyi kestiğini, hangi trafiğe izin verdiğini belirleyemez. DMZ trafiğini ve ağ içine giren, ağdan çıkan trafiği gözleyebilir. Sensor İçerdeyken: Sadece ateşduvarı tarafından izin verilen trafiği izleyebilir. Neye karşılık vermek gerektiği konusunda bilgi sahibi olursunuz. Ateşduvarının her bir bacağı için bir sensor kullanmak gerekir.
Tipik Sensor Yerleşimi Kritik Sunucu ve Kaynaklar Veri Depolama Merkezi Bölge Ofisleri Corporate Network Internet Uzaktan Erişim Uzaktan Erişim Sistemi İş Ortaları Erişimi Extranet Bağlantılar DMZ Sunucular Internet Bağlantıları
Ataklara Verilebilecek Karşılık Tipleri (1/2) Çevre birimlerde konfigürasyon değişikliği Yönlendiricilerde kural değişiklikleri Ateşduvarı kurallarında değişiklikler Karşı saldırı (Önerilmez!...) Saldırgan hakkında bilgi toplayan küçük programlar kullanılabilir. Saldıran tarafa çok büyük bir dosya gönderilebilir. Olumsuz etki: Saldırgana varlığınız konusunda onay verilmiş olur. Gerçek zamanlı bilgilendirme: Çağrı cihazlarına mesaj gönderebilir Birden çok kullanıcıyı e-mail ile uyarabilir. Ekranda görünen ve/veya duyulabilen alarmalar üretebilir.
Ataklara Verilebilecek Karşılık Tipleri (2/2) Güçlendirme Hız sınırlama Saldırıların yavaşlatılması Session Sniping Session yakalanır Her iki tarafa da reset gönderilerek session sona erdirilir.
Tipik Saldırı Karşılıkları TCP reset IP session loglarının tutulması Shunning /kesme Her bir atak tipi için ayrı bir konfigürasyon yapılabilir.
TCP Reset Reset sinyali, izleme noktasından gönderilir. Reset sinyalinin gönderilmesi sırasında kaynak ve hedef IP adresleri ve MAC adresleri değiştgirilerek kullanılır. Doğru TCP sıralama numarasının belirlenmesi gerekir. Bu durum, kaynak ve hedef arasında çok yoğun bir trafiğin olduğu durumlarda TCP rest i güvenilmez bir duruma getirir. Bazı uygulamalar otomatik olarak yeniden bağlantı kurar ve yeniden gönderirler (SMTP). İlk paket bu arada hedefe ulaşmış olduğundan olayın gelişimini engellemez.
Shunning /Kesme Sensor, yönetim noktasından ateşduvarı ve/veya yönlendiriciye bağlanır Bir saldırı izi yakalandığında sensor ateşduvarı ve/veya yönlendiriciye, aynı kaynaktan gelecek takibeden trafiğin engellenmesi gerektiğini bildirir. Bu arada ilk paket hedefine ulaşmıştır.
Yönlendirici ile Shunning /Kesme Saldırgan 172.29.29.2 Internet İzleme arayüzünde saldırı belirlenir Kes 172.29.29.2 Write the ACL Si Ağ İçi Detect the attack Yönetim arayüzünde erişim kontrol listeleri (ACL) oluşturulur.
IDS Trafiğinin Güvenliği Yönetim ağının ayrılamadığı durumlarda şifrelenmiş iletişim kullanılabilir. Sensor ile yönetim merkezi arasında IPSEC kullanılabilir. Şifreleme servsisindeki önemli noktalar; Şifreleme anahtarlarının yönetimi manuel yapılır. sensor ve yönetim merkezi üzerindeki IPSEC performansları uyumlu olmalıdır. Güvenilmeyen ağlardan geçerken de IPSEC kullanılmalıdır.
IDS Trafiğinin Güvenliği Güvenilmeyen AĞ Uzak AĞ IPSec Tuneli Korunmuş Ağ Director Yönetim Merkezi IDS Sensor
WHAT DOES IT PROTECT ME AGAINST
WHAT DOES IT PROTECT ME AGAINST
Alarm Sayısı Çok Yüksekse? Böyle bir durumla karşılaşmamanızı umarız, ancak, Konfigürasyonu iyi yapılmamış sensor, Ağ üzerinde gerçekleşen her bağlantının loglarının alınması, Bir saldırgan tarafından kullanılan ve IDS üzerinde servis engelleme atakları gerçekleştirebilen Stick/Snot gibi programlar çok sayıda alarm üretirler.
IDS Kandırma Teknikleri Kandırma teknikleri, IDS in tarama alanın dışında saldırganların rahatça dolaşabilmelerini sağlayan tekniklerdir: Paket parçalama (Fragmentation) Yavaş tarama Kalkanlanmış tarama Sırasını takibetmeyen paketler Değişik kodlama biçimleri (Örneğin %u, UTF (%xx%xx), HEX (%xx)). Bilinen portların kullanılması (Codered)
IDS Kandırma Teknikleri - %u Kodlama 5 Eylül 2001 de belirlenmiştir. Hemen hemen bütün IDS lerde görülmüştü. Standart değildir ve Microsoft a özeldir. Diğer işletim sistemlerindeki durumu konusunda bir bilgi bulunmamaktadır. Bir saldırgan %u kodlanmış bir istek gönderdiğinde IDS i geçebilmektedir. Kalkanlanmış bir Codered isteği örneği: GET /himom.id%u0061 HTTP/1.0
IDS Seçiminde Dikkat Edilecek Noktalar Kural sayısı Uygulanacak ortam ile uyumluluk Bütün bir veri paketini okuyabilme Parçalanmış veri paketlerini değerlendirebilmeli. Güncellemenin nasıl ve ne sıklıkta yapıldığı belirlenmeli. Raporlama özellikleri (veri alma, veri aktarma, okunabilirlik, vb) incelenmeli. Teknik destek Kullanım kolaylığı olmalı
IDS Seçiminde Dikkat Edilecek Noktalar Özel bir donanıma gerek olup olmadığı belirlenmeli Ağ yada Host tabanlı olup olmayacağına karar verilmeli Güncellemelerin maliyeti belirlenmeli Saldırılara otomatik karşılıklar verip veremediği belirlenmeli Yapısının ne kadar esenk olduğu incelenmeli Yanlış pozitif oranının ne olduğu öğrenilmeli Sistemi işletmek için ne düzeyde bir uzmanlığa gerek duyulduğu öğrenilmelidir
IDS Hakkında Geniş Bilgi Incident.org, ARIS, MyNetWatchMan CVE ( http://www.mitre.org/cve/ IDMEF, Intrusion Detection Exchange Message Format http://www.ietf.org/html.charters/idwgcharter.html - CIDF, Common Intrusion Detection Framework
TEŞEKK EKKÜRLER