Hlavní navigace

Máte v sieti votrelca?

Jozef Novikmec 31. 1. 2002

Pri tejto otázke mnoho správcov systémov spozornie. Ale ako s čo najväčšou určitosťou povedať že nie? Jedným zo spôsobov je inštalácia Intrusion Detection Systemu (IDS) a sledovanie správ ktoré vyprodukuje. Myslíte si že je to tažké? Ale nie je :-). Táto séria článkov sa vám pokúsi priblížiť túto problematiku a verím že ak vám nabudúce položí otázku o votrelcoch vo vašej sieti už budete môcť spokojne odpovedať že nie.

Trocha teórie na úvod

(Veď ako sa vraví, trocha teórie ešte nikoho nezabilo. Ako dôkaz možu slúžiť absolventi univerzít :-))

Takže čo to vlastne ten Intrusion Detection System (IDS) je. IDS je súbor opatrení ktoré zabezpečia že v prípade prieniku nepovolaného objektu do siete bude tento odhalený. Typicky sa jedná o program ktorý sa stará o identifikáciu prienikov, hardware na ktorom IDS beží a súbor pravidiel (politiku) ktorá vraví čo robiť ak k nejakému prieniku dôjde.

Toľko teória.

Intrusion Detection Systémy môžeme rozdeliť na dve podskupiny a to Network a Host IDS.
Network Intrusion Detection System (NIDS) je, ako jeho názov prezrádza, systém ktorý pri správnom nasadení dokáže odhaliť prienik na základe aktivity na sieti.
Host Intrusion Detection System (HIDS) je zasa systém ktorý odhaľuje prienik na základe nekalých aktivít priamo na danom stroji.
V tomto článku sa budeme zaoberať jedným z viacerých IDS ktorý pracuje pod Linuxom a to IDS menom Snort. (Ak by niekoho zaujímali aj iné, komerčné alternatívy, spomeniem tu iba ich mená. Sú to napr. Cisco Secure IDS, CA eTrust, Enterasys Dragon a tak ďalej.)

Náš krásnyj.
Co je na tom krásnýho, dyť je to červený jako trenýrky. To náš je krásný.
Náš krásnyj.
 

[Kolja]

A teraz hor sa do praxe

Ako asi taký IDS v krátkosti funguje? Každý útok alebo podozrivá činnosť je niečím charakteristická. Na základe týchto charakteristík boli napísane pravidlá (rules, signatures). Engine ktorý pracuje vlastne na podobnom princípe ako sieťový sniffer porovnáva pakety ktoré jadro spracúva s týmito pravidlami a v prípade že paket vyhovuje danému pravidlu, je načase vykonať príslušnú akciu.

A ako si s touto teóriou implementačne poradili autori IDS Snort?

Rozprávanie o snorte začneme základnými informáciami o tomto projekte. Domovská stránka projektu sa nachádza na adrese www.snort.org. Súčastná verzia snortu je 1.8.3. Na tejto stránke je možne nájsť zdrojové súbory ale aj binárne balíky pre niektoré distribúcie.

Na spomínanej stránke nájdete taktiež aj aktuálne súbory signatúr, ktoré mimochodom vychádzajú každú pol hodinu, rozdelené do množstva (približne 33) súborov podľa príslušnosti ku konkrétnej internetovej službe alebo podľa inej príslušnosti. (Pre zaujímavosť v posledných verziách sa objavili aj pravidlá pre sledovanie prístupu na stránky s obsahom pre dospelých :-)) Signatúry sú v „ľudsky čitateľnej“ (human readable) forme.

Signatúra pre detekciu exploitu útočiaceho na váš wu-ftpd verzie 2.6.0 vyzerá asi takto:

alert tcp $EXTERNAL_NET any → $HOME_NET 21 (msg:„FTP EXPLOIT wu-ftpd 2.6.0 bsd“; content: „|31c0 50 50 50 b07e cd80 31db 31c0|“; flags: A+; depth: 32; reference:arachnid­s,228; classtype:attempted-admin; sid:343; rev:1;)

(původně bylo vše na jednom řádku, ale pro publikování jsme museli řádek zalomit – pozn. redakce)

V krátkosti: toto pravidlo vraví že ak sa objaví TCP paket smerujúci z externej siete (táto premenná sa nastaví v konfiguračnom súbore) z akéhokoľvek portu do domovskej siete na port 21 a tento paket bude obsahovať sekvenciu znakov 31c0 50 50 50 b07e cd80 31db 31c0 s príznakom ACK je klasifikovaný ako pokus o získanie práv správcu systému a v takomto prípade sa vykoná akcia alert. Dalšie informácie uvedené v tomto pravidle sú sid, ktoré predstavuje jedinečne číslo pravidla (signature id), verzia pravidla (rev) a navyše voľba ktorá zvyšuje výkon IDS a to že payload paketu sa bude v tomto prípade prehľadávať iba do hĺbky 32 bajtov (depth: 32).

Ak sa vo Vašej sieti objaví takýto útok, v logoch IDS nájdete takýto riadok:

25/01–08:39:18.031375 [] [1:343:1] <eth1> FTP EXPLOIT wu-ftpd 2.6.0 bsd [] [Classification: Attempted Administrator Privilege Gain ] [Priority: 10] {PROTO006} 195.168.1.141:4870 → 129.10.11.2:21

(řádek byl opět zalomen – pozn. redakce)

Samozrejme ak si to budete želať (vhodným parametrom pri spustení snortu), tak vám snort daný rámec uloží do súboru pre ďalšie analyzovanie.

Poviete si: „No dobre ale čo s tým?“ Teraz už zostáva iba pozorne sledovať alert log a podľa jeho obsahu sa taktiež aj riadiť. Tak o tom ako aj o niečo viac o konfigurácii Snortu si povieme v nasledujúcej časti seriálu. Nabudúce si taktiež uvedieme malý príklad s konfiguráciou IDS pre malý linuxový firewall.

Ak je niekto netrpezlivý a nevydrží čakať na nasledújuci diel seriálu, odporúčam prečítať manuálové stránky :-).Ako sa veľmi často a veľmi výstižne zvykne hovoriť a písať RTFM :-).

Našli jste v článku chybu?

5. 2. 2002 8:46

Teka (neregistrovaný)

10 denne je stale dost. Vzhladom na zabity cas, ktory stravim tym, ze budem overovat, ci to je naozaj realny poplach.

4. 2. 2002 18:37

Jozef Novikmec (neregistrovaný)

Vhodnou konfiguraciou je mozne mnozstvo poplachov znizit. Po vhodnej konfiguracii je mnozstvo detekovanych utokov priblizne 10 denne.
Konfiguracii snortu sa bude venovat druhy diel serialu.


Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Root.cz: Pinebook: linuxový notebook za 89 dolarů

Pinebook: linuxový notebook za 89 dolarů

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

DigiZone.cz: Flix TV má set-top box s HEVC

Flix TV má set-top box s HEVC

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR