Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması Akademik Bilişim Şubat 2006 Hakan Tağmaç htagmac@cisco.com Sistem Müh. 1
Bildiri Konusu Günümüzde klasik veri toplama sunucuları çok yoğun ağ ve güvenlik bilgisi altında ezildiğinden ağda atak tespiti ve önlenmesi ciddi bir sorun haline gelmiştir. Bu sorunu çözmek için genel eğilim sadece cihazlardan veri toplayan ve bunu depolayan sunucuların kullanılması yerine farklı üreticilere ait cihazlardan topladığı olaylar arasında ilişkilendirme yapan ve tehlike yaratmayan olaylar için yanlış alarmlar vermek yerine sadece etkili olabilecek atakları ilk planda gösteren cihazların kullanılması yönündedir. Böylelikle atağa ait topolojinin anında görülmesi ve hızlı müdahale edilmesi olanaklı hale gelmektedir. 2
Ajanda Güvenliğin İzlenmesinde Karşılaşılan Zorluklar Cisco MARS Teknolojisi (Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması) Nasıl Çalışır? MARS - Sasser-D Demo 3
Güvenliğin İzlenmesinde Karşılaşılan Zorluklar 4
Güvenlik Operasyonları Ağ Operasyonları Güvenlik Operasyonları Aksiyon Adımları: 1. Alarm 2. İncele 3. Önle Sınır Güvenliği Saldırı Tespit Cihazları Ağ topolojileri, Milyonlarca veri!!! Oku ve Analiz Et Tekrar Et Win, UNIX Antivirüs Kripto cihazları Ağ tarayıcıları Kimlik SorgulamaYönlendirici/Anahtar Sunucuları 5
Defans Derinliği ve Karmaşık Yapı Alarmlar Virus Bulaşmış PC 6
IPS Alarmları 7
Firewall Kayıtları 8
Cisco MARS Teknolojisi 9
Nasıl Çalışır? 1. Ağ, güvenlik cihazları ve sunucular olayları Cisco MARS'a gönderir. 2. Cisco Mars'ta toplanan olaylar ayrış ıştırılır ve normalleştirilir. 3. Olaylar biribiri ile ilişkilendirilip oturumlar belirlenir. 4. Kural motoru çalış ıştırlır (Düşürme Kuralları, Sistem Kuralları, Kullanıcı Kuralları) 5. Yanlış Alarm Analizleri Yapılır. 6. Şüpheli makina ve cihazlar için güvenlik açıkları değerlendirilmesi yapılır. 7. Trafik sınıflandırılması yapılır ve anormal durumlar istatiksel olarak belirlenir. 10
MARS ve Sasser-D 11
Solucanlar Tipik Atak Safhaları Saldırıya Açık Makina Tespiti için Tarama Infected station 1 Probing Saldırıya Açık Porta Saldırma Shell Ekranı Ele Geçirme Bir İşlem Başlatma Atak Kodunu İndirme 3 Launch Server Process 01001 4 2 Shell 01001 5 Kodu çalıştır Tekrar et 6 12
Hızlı Yayılım Sasser Solucanı May 1, 2004 128 IP blokları halinde TCP/445e bağlanma ve OS tespiti için SMB Banner Elde Etmeye Çalışma 445 LSA exploit payload 445 gönderme Port 9996 port 9996 ya bağlan ve random_up.exe dosyasını indirip çalıştıracak script yolla. 9996 Ara Bellek Taşması sağlayacak kodu çalıştır ve komut shell ile port 9996 birbirine bağla FTP Sunucu port 5554 de çalışmaya başlar. 5554 random_up.exe nin FTP ile indirilmesi Not: Takip eden Korgo worm 6/2/04, keystroke logger programı kurar, bilgi çalar ve uzaktan komut çalıştırılmasına imkan sağlar windows, registry ye yazma Atağı yiyen makina çöker ve reload olur. 13
Grafik Herşeyi Anlatıyor! 14
Kritik Olaylar 15
Ele Geçirilmiş Makinalar 16
Atağın Durdurulması 17
Demo 18
Özet 19
Ataklar 20
Detaya Bakma 21
Oturumun içindeki Olaylar 22
Atak vektörü 23
Atakların Durdurulması Durdurulacak cihaz DURDURMA 24
Grafikler 25
Cihaz Detayları MAC Adresi OS and SP 26
Vektör Diyagramı 27
Anormallikler: Belli portta gözlenen yoğun trafik Sorgulama Yapılabilir 28
Problemlerin Kolay Çözülmesi Click q icon to get to the Query Page 29
Raporlar Kural olarak kaydedilebilir teks 30
Araştırma Can save as a rule 31
Anormallikler: Belli portta gözlenen yoğun trafik 32
Rapor Seçenekleri 33
Kurallar 34
Özet Yerine! 35
Saldırı Tespit Sistemleri Saldırı Tespitinin Tüm Bileşenleri CSA Güvenlik Politikaları Sınır Merkezi Yönetim, Korelasyon ve Analiz CSA Cisco ISR Servis Sağlayıcı PIX & ASA VMS, CS-MARS CSA Sınır Güvenliği Cisco Guard Cisco IPS 4200 Servis Modülleri CSA Sıfır Gün Koruması DDoS ve Spoofing in Durdurulması Saldırıların Durdurulması Sunucu Koruması 36
Tehditlerin Durdurulması Anormallik Tespiti Birleştirme Korelasyon CS-MARS DTM Yönetimi Akıllı Aktivasyon IPS MC Alarmlar Gerekli imzaların Açılması Konfigurasyon Değişiklik Yöntetimi Birleştir Bilgi Uygula Korelasyon 37
38