Intrusion Detection Systems



Samankaltaiset tiedostot
Diplomityöseminaari

Hyökkäysten havainnoinnin tulevaisuus?

Security server v6 installation requirements

Salausmenetelmät (ei käsitellä tällä kurssilla)

Security server v6 installation requirements

Web-palvelut ja niihin kohdistuneiden poikkeavuuksien tunnistamisen. Harri Mäkelä

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Tutkimus web-palveluista (1996)

Poikkeavuuksien havainnointi (palvelinlokeista)

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

OSI ja Protokollapino

Tietoturva / Kevät 2000

GPRS-lisäpalvelu INTERNET-ASETUKSET

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

TeleWell TW-EA711 ADSL modeemi & reititin ja palomuuri. Pikaohje

Yritysturvallisuuden perusteet

TUTKI OMAT TIETOTURVA-AUKKOSI. ENNEN KUIN JOKU MUU TEKEE SEN PUOLESTASI. F-Secure Radar Ville Korhonen

F-SECURE TOTAL. Pysy turvassa verkossa. Suojaa yksityisyytesi. Tietoturva ja VPN kaikille laitteille. f-secure.com/total

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Esa HäkkinenH Evtek tp02s Tekninen tietoturva Copyleft 2005

Hyökkäysten havainnointi - teoriasta käytäntöön

Kaikki analogiset järjestelmät digitaalisiksi ja verkkokäyttöisiksi - jo tänään Kustannustekkuutta ja joustavuutta työskentelyyn

Turvallinen etäkäyttö Aaltoyliopistossa

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Älykästä. kulunvalvontaa. toimii asiakkaan omassa tietoverkossa

Visualisoi tapahtumat ja selvitä niiden kulku

Directory Information Tree

Palvelunestohyökkäykset. Abuse-seminaari Sisältö

Tietoliikenne II (2 ov)

IPv6 käyttöönoton mahdollistajat operaattorin näkemys

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

TEOLLISUUSAUTOMAATION TIETOTURVA. Jarkko Holappa Kyber-INKA Roadshow, Solo Sokos Hotel Torni, Tampere

UNIX... UNIX tietoturva. Tiedot turvassa. ... tietoturva

Internet-yhteydet maanläheisesti Combi Cool talvipäivät 2010

Vesihuolto päivät #vesihuolto2018

- Valitaan kohta Asetukset / NAT / Ohjelmallinen palvelin - Seuraavassa esimerkki asetuksista: valitaan käytössä oleva ohjelmistorajapinta

Tech Conference Office 365 tietoturvan heikoin #TechConfFI

Esimerkkinä - ilmainen blogi-julkaisujärjestelmä. WordPress:stä on myös palvelimelle asennettava versio (WordPress.

dyntäminen rakennusautomaatiossa Jussi Rantanen Myyntipää äällikkö Fidelix Oy

FinFamily PostgreSQL installation ( ) FinFamily PostgreSQL

TW-EA510v4 TW-EA510 VERSIO 4. - Ulkoinen ADSL-modeemi, kytkin, palomuuri, WLAN-tukiasema 54 Mb, VPN PPTP - 4 Ethernet-porttia 10/100 Mbps

Seminaariaiheet. Tietoturvaseminaari, kevät 03 Lea Viljanen, Timo Karvi

ICTLAB palomuuri ja etähallintayhteydet

Kyberturvallisuus kiinteistöautomaatiossa

The necessary product key can be found in the hand out given to you.

Arkkitehtuuritietoisku. eli mitä aina olet halunnut tietää arkkitehtuureista, muttet ole uskaltanut kysyä

CT30A3500 Tietoturvan Perusteet : Verkon turva

Palomuurit. Tehtävän suorittaminen. Palomuuri. Teoriaa. Pakettitason palomuuri

Opinnäytetyön loppuseminaari

Yritysturvallisuuden perusteet

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

Käyttöjärjestelmät(CT50A2602)

Tietoliikenne II. Syksy 2005 Markku Kojo. Tietoliikenne II (2 ov,, 4 op) Page1. Markku Kojo Helsingin yliopisto Tietojenkäsittelytieteen laitos

Mikä on internet, miten se toimii? Mauri Heinonen

INTERNET-yhteydet E L E C T R O N I C C O N T R O L S & S E N S O R S

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

3. IP-kerroksen muita protokollia ja

Introduction to exterior routing

Salaus ja tietoturva teollisen internetin ratkaisuissa

Dixell S.p.a. pidättää oikeuden asiasta ilmoittamatta muuttaa tätä ohjetta. Viimeisin saatavissa oleva versio on ladattavissa verkkosivuilta.

Digitaalinen haavoittuvuus MATINE Tampere

HOW-TO: Kuinka saan yhdistettyä kaksi tulospalvelukonetta keskenään verkkoon? [Windows XP]

3. Kuljetuskerros 3.1. Kuljetuspalvelu

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Kattava tietoturva kerralla

Maailman ensimmäinen Plug & Go etäyhteyslaite

Lumejärjestelmä Xen. Reino Miettinen

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

Introduction to exterior routing

TI09. Seminaarityö Opintojakso: A Linux järjestelmät Opettaja: Tomi Pahula Opintojakson toteutus: Syksy 2011.

ISACA Finland OWASP The OWASP Foundation. Timo Meriläinen Antti Laulajainen.

Efficiency change over time

Internet ja tietoverkot 2015 Harjoitus 7: Kertaus

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2013

KODAK EIM & RIM VIParchive Ratkaisut

Introduction to exterior routing. Autonomous Systems

WWW:n tietoturva. Nixu Ltd.

SMART BUSINESS ARCHITECTURE

ZYXEL 645R MODEEMIN ASENTAMINEN SILLATTUUN SAUNALAHDEN ADSL- LIITTYMÄÄN

Introduction to exterior routing

DPI (DEEP PACKET INSPECTION) By Sami Lehtinen

Hankkeiden vaikuttavuus: Työkaluja hankesuunnittelun tueksi

Voice Over LTE (VoLTE) By Miikka Poikselkä;Harri Holma;Jukka Hongisto

TOSIBOX RATKAISU. »TOSIBOX:n avulla yhteys muodostuu automaattisesti internettiä hyödyntäen eri toimilaitteiden välille

MS Aamubrunssi Aktiivihakemiston uutuudet

HITSAUKSEN TUOTTAVUUSRATKAISUT

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka

Lab SBS3.FARM_Hyper-V - Navigating a SharePoint site

VERKKOKÄYTTÄJÄN OPAS. Tulostuslokin tallennus verkkoon. Versio 0 FIN

Liikenneverkot-tietotuote

Palvelukuvaus LOUNEA VERKKOTURVA PALVELUKUVAUS.

Forte Netservices Oy. Forte Client Security Services

Unix-perusteet. Tulostaminen

TURVALLISEN TEKNIIKAN SEMINAARI Laitteiden etähallinta tietoverkkojen välityksellä Jani Järvinen, tuotepäällikkö

Transkriptio:

IDS - hyökkäysten havaitseminen ja torjunta verkossa Tietoturvaseminaari Tietoturva ry 23.9.1999 Jari.Pirhonen@atbusiness.com Projektipäällikkö, CISSP AtBusiness Communications Oy http://www.atbusiness.com/ Intrusion Detection Systems Sovelluksessa Käyttöjärjestelmässä Verkkoliikenteessä IDS vs. vulnerability scanners vs. honeypots allekirjoitukset - tilastoanalyysi - eheys

Miksi palomuuri ei riitä? Palomuuri ei huomaa sallitulla liikenteellä yritettäviä hyökkäyksiä: http, ftp, email, dns, Palomuuri ei talleta historiatietoa liikenteestä Palomuuri on portinvartija - tarvitaan myös varashälytin Intranet - palomuuri ei valvo kaikkea liikennettä Ongelmat protokollissa, sovelluksissa? Onhan tietoturvakorjaukset asennettu? Mistä tiedät palomuurin toimivan? NIDS Network Intrusion Detection System Tutkii verkkoliikennettä reaaliajassa Raportoi / hälyttää poikkeavuudet ja tunnetut hyökkäykset Tunnistaa vialliset TCP/IP paketit Voi suorittaa vastatoimenpiteitä Tallettaa historiatietoa -> analysointi, todisteet Todentaa turvajärjestelyjen riittävyyden Läpinäkyvä käyttäjille ja sovelluksille

Tiedätkö, mitä tietoverkossasi tapahtuu? Valvonta Sisäverkko Tiedonkeruu Tiedonkeruu GET /cgi-bin/phf? Palveluverkko Tiedonkeruu www Internet Tutkimuksia 1999 InformationWeek (2700) 37% of survey respondents reported using intrusiondetection product, up from 29% last year Information Security Magazine (745) 41% of respondents are using IDS-products 23% experienced unauthorized access by outsiders Internet Auditing Project 98-99 tutkittiin n. 35 miljoonaa konetta 18 tunnettua ongelmaa: tooltalk, bind,wu_imapd, qpopper, wwwcount, rpc_mountd,... 450.000 haavoittuvaa laitetta

Hakkerin toiminta 1 Verkkotopologian selvittäminen IP-osoitteet, nimet, käyttöjärjestelmät, palvelut,... skannerit (nmap), antisnifferit, DNS zone transfer,... 2 Haavoittuvan kohdan hakeminen tunnetut ongelmat, väärin konfiguroidut järjestelmät, troijalaiset, hyväksikäytettävät palvelut, IMAP, FTP, Web CGI, BackOrifice, Hack a Tack, CyberNotes http://www.fbi.gov/nipc/nipcpublic.htm Hakkerin toiminta 3 Tunkeutuminen järjestelmään Haavoittuvan kohdan hyväksikäyttö, turvajärjestelyjen kierto, palvelujen väärinkäyttö, bugit, tunnelit, salasanakrakkerit,... 4 Järjestelmän haltuunotto tunkeutumisen varajärjestelmät rootkit, systeemiohjelmien korvaaminen,...

Hakkerin toiminta 5 Levittäytyminen, jälkien peittäminen hyökkäys verkon muihin koneisiin, lokien siivous snifferit 6 Luetaan, kopioidaan, muutetaan, tuhotaan, toteutetaan hyökkäyksen päämäärä 7 Järjestelmän käyttäminen jatkohyökkäyksiin hyökätään muualle käyttäen jo vallattua järjestelmää alustana => jälkien peittäminen nmap http://www.insecure.org/nmap/index.html Vanilla TCP connect() scanning TCP SYN (half open) scanning, TCP FIN, Xmas, or NULL (stealth) scanning TCP ftp proxy (bounce attack) scanning SYN/FIN scanning using IP fragments UDP raw ICMP port unreachable scanning ICMP scanning (ping-sweep) TCP Ping scanning Remote OS Identification Reverse-ident scanning

Sscan: remote attack tool README: you can have sscan launch off programs, initiate tcp connections and have dialogs with hosts that fit certain criterian, negotiate telnet connections and have sscan log into a host and execute shell commands (useful in coding internet worms), etc, all via a simple built in scripting language os[irix] os[windows] starttelnetdialog[23] port[80] wait[2] # wait for login: cgi[/cgi-bin/_vti_inf.html] read[ogin:] registervuln[frontpage extensions are being used here.] send[lp] cgi[/cgi-bin/_vti_pvt/authors.pwd] wait[2] # delay a bit.. registervuln[authors.pwd is world readable] read[$] # are we logged into a shell? enddialog print[successfully logged into unpassworded lp account!] Työkaluja: verkkoliikenteen valvonta Shadow, SANS Insitute Network Flight Recorder, NFR Dragon, Network Security Wizards RealSecure, ISS Netranger, Cisco NetProwler, Axent etrust Intrusion Protection, CA BlackIce sentry, Network ICE

Nessus Satan nmap Työkaluja: heikkouksien etsiminen CyperCop Scanner, NAI Internet Scanner, ISS NetSonar, Cisco Hackershield, BindView NetRecon, Axent Security Analyzer, WebTrends Työkaluja: laitteen valvonta Tripwire, Tripwire Security Systems CyperCop Monitor, NAI entrax, Centrax Intruder Alert, Axent Kane Security Monitor, Security Dynamics

Hyvän IDS-työkalun ominaisuuksia Huomaamattomuus, vähäinen resurssitarve Vikasietoisuus, luotettavuus Helposti muokattavissa yrityksen tarpeisiin Mukautuu muutoksiin, skaalautuvuus Vaikeasti hämättävissä Huomaa poikkeavuudet normaalista Helppokäyttöinen, keskitetty hallinta Monipuolinen raportointi, analysointi Kattava ongelmatietokanta Hyötyjä Ongelmakohdat havaitaan etukäteen Parempi löytää ongelmakohdat itse... Hyökkäykset havaitaan aikaisessa vaiheessa Hyökkäykseen liittyvät tapahtumat ovat tallessa => todisteet tapahtuneesta Helpottaa tietoturvabudjettikeskusteluissa :-)

Shadow http://www.nswc.navy.mil/issec/cid/ http Sisäverkko Valvonta Internet Perl Web-palvelin Tcpdump suodattimet scp #land attacks: source ip = dest ip ip[12:4] = ip[16:4] #active open packets (syn is set, ack is not) (tcp[13] & 2!= 0) and (tcp[13] & 0x10 = 0) Palveluverkko Tiedonkeruu www tcpdump Shadow

Dragon [WEB:FORMMAIL] This server script allows remote users to execute commands remotely on a web server. Viimeisimpiä yrityksiä IMAP Netbus Hack A Tack FTP SunRPC Smurf nmap

NIDS ongelmia Hyökkäysten tutkiminen vaatii asiantuntijatyötä Kuormitetut verkot, nopeus Switched networks TCP/IP heikkoudet: väärennetty lähdeosoite Verkkopakettitason hyökkäykset: fragmentoitu TCP/IP, su ro^h^hroot Salattu verkkoliikenne NIDS-työkalun käyttöönotto Onko yrityksessä vahva TCP/IP-osaaminen? Public Domain työkalu vai kaupallinen? Kuinka usein ja miten työkalua päivitetään? Minne NIDS-sensorit asetetaan? Hälytykset vai loki? Yrityksen tietoturvapolitiikan vaikutus? Miten reagoidaan hyökkäyksiin? Kuka? Kommunikointi yrityksen henkilökunnalle? Seuraamukset rikkomuksista?

Onhan perusta kunnossa? 5. 4. 3. 2. 1. Auditointi, seuranta, tutkinta Teknologiat ja tuotteet Tietoturvatietoisuus ja koulutus Tietoturva-arkkitehtuuri ja prosessit Tietoturvapolitiikka, standardit Kuinka reagoida? Olethan valmistautunut, toimintasuunnitelma? Tarkista, onko murtoyritys onnistunut Siivoa järjestelmä(t), tuki reikä Ilmoitus hyökkääjän verkkovastaavalle, yhteistyö We identified the dialup account that was used for this port scan. The account belongs to an local hospital, but apparently is often 'stolen' (or perhaps used unauthorised from employees outside of the hospital). We will take this with their management - the account has been temporarily suspended. Thanks for letting us know. Tarpeen vaatiessa yhteys poliisiin

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute