-- MichalMatfiak - 03 Nov 2009

Siet’ové anomálie

Medzi siet’ové anomálie patrí všetko, co se nejakým zpôsobom odlišuje od bežnej prevádzky na sieti. Medzi najznámejšie anomálie patria rôzné druhy útokov vedené po internete. Vela sa hovorí o DoS útokoch, ktoré dokážu zpôsobit napríklad nedostupnost služieb alebo serverov. Menej známou anomáliou su len skeny, ktoré ako také niesu tak nebezpecné ako DoS útok, ale možu byt prvím krokom k naburaniu sieťovej bezpečnosti. Do siet’ových anomálií patria i veci typu, náhlý nárast alebo pokles prenášaných dát po sieti. Obecne su pre prenos po sieti definovane protokolmi, ktoré definujú pravidla prenosu dat a akákolvek odchylka od tohto prenosového protokolu je považovaná taktiez za sieťovu anomáliu. . Typy siet’ových anomálií Každá anomália vznikne ako dôsledok nejakej cinnosti ovplivnujucej prevadzku na sieti. Podla charakteru tejto cinnosti môžeme siet’ové anomálie delit do následujících troch kategorií. • Anomália siet’ovej prevadzky - tie zahrnujú anomálie zpôsobené napríklad zmenou konfiguracie siet’ových zariadení ,pridaním alebo odobráním siet’ových zariadení. • Flash Crowd anomália - do tejto kategorie spadaju siet’ové anomálie typicky vzniknute v dôsledku napríklad vypuštanie nového softwaru alebo extrémnym záujmom o webové stránky v dôsledku publicity. Tieto anomálie su prevadzané nárastom urcitého typu sietovej prevádzky, v prípade uvolnenia nového software to môže byt FTP u webových stránok zase http. • Anomália v dôsledku zneužitia siete - tieto anomálie vznikaju ako priamy dôsledek zneužitia siete. Patria sem cinnosti ako skenovanie alebo DoS útoky.Oblast zaoberajucu sa ich detekciou oznacujeme ako Intrusion Detection (detekce vniknutí) a k tomu urcené nástroje ako IDS(Intrusion Detection System).

IDS môžu byt rozdelene do niekolkych kategorií. Môžeme ich deliť podľa prístupu k detekcii útoku a podľa zpôsobu, akým sú implementované. Delenie podľa prístupu:

Anomaly based Intrusion Detection System (A-IDS) sa v priebehu svojej cinnosti ucia, ako vyzera bežna prevadzka systému. Súčasne porovnává tento model bežnej prevádzky s aktuálnym stavom systému. Akákoľvek anomália v chovaní systému je považováná za útok. Je velmi obtiažnae rozoznat bežnú premávku systému, a tak tento prístup so sebou prináša i niektorá úskalia, na ktoré si pri tvorbe obrany systému musíme dat pozor. U velkých komplexných systémoch sa môže ich prevádzka zdat natoľko náhodná, že nebude možné rozpoznat útok. Útocník sa dokonca môže pokusit postupne generovat v systému prevadzku, ktora bude mat za následok vytvorenie modelu bežnej prevadzky, podla ktorej nebude útok rozpoznaný. Naopak ak bude A-IDS príliš prisne, bude generovat velké množstvo falošných poplachov, na ktoré si administrátor zvykne a bude ich ignorovať.

Signature based Intrusion Detection System (S-IDS) obsahuje signatury (vzorky), z ktorých každá predstavuje nejaký útok. Pri svojej cinnosti vyhladávaju tieto vzorky, a pokial niektorý z nich najde, vie, že sa jedná o útok. U S-IDS sa len velmi zriedka môže stat, že vyvolá falošný poplach, protože vie, co znamenaju jednotlivé signatury.

Delenie podla implementacie: V dnešnej dobe sa dost používajú dva zpôsoby implementacie IDS. Jeden sa nazývá host-based a druhý network-based. Dalej existuje alternativa nosiaca názov autonomous agent-based.

Host-based IDS (H-IDS) pozoruje chovanie systému, na nom je nainstalovany, a podla získaných informací rozhoduje, ci není systém vystaveny útoku. Toto rozhodovanie však môže zkonzumovat tolko strojového casu, že nebudu sprevadzane v reálnom case. Network-based IDS (N-IDS) sleduje sietovu prevadzku a vyhladává v nom známky útoku. Tento zpôsob prináša jednu velku výhodu. Mnoho útokov napadá siet ako celok. Takýto typ útoku host-based IDS nezaznamená. Monitorovánie siete nám však môže pomoct. Autonomous agent-based IDS (AA-IDS) je istým zpôsobom distribuovaný systém. Na systému, ktory sledujeme, je spusteny agent. Tento agent monitoruje prevadzku alebo dokonca detekuje útoky. Informacie z agenta su posielane na dalšie sucasti IDS, kde su dalej spracované.

Detekcia siet’ových anomálií

Existuje nekolko spôsobov detekcie siet’ových anomálií, každá z nich má svojé prednosti a negativa. Predstavím tri najcastejšie metody pre detekciu siet’ových anomálií spolocne s strucným popisom ich metodiky. • Porovnávanie signatur - základom tejto metody je porovnávanie dat s databázou signatur. Tieto signatury su vlastne pravidla, ktoré popisujú nejaku cast dat typicku pre danu anomáliu. Tieto pravidla mozu byt velmi jednoduché, napríklad len porovnanie cielového portu. V nástroji Snort su definováné takto:

alert tcp $EXTERNAL_NET any -> $HOME_NET 27374 (msg: "BACKDOOR SIG - SubSseven 22"; flags: A+; content: "|0d0a5b52504c5d3030320d0a|"; reference:arachnids,485;) alert

Toto pravidlo slúži k odhaleniu Trojského kona SubSeven . Dá sa celkem lehko odhadnut, že sa jedná o TCP pakety smerujúce do našej siete a to na port 27374 s aktivnim TCP príznakom ACK. Dalej je definovany úsek dat, ktorý sa musí v paketu objavit. Na podobných pravidlach fungujú všetky porovnávania signatur. Každý prostriedok pre odhalovanie útoku pomocou porovnávania signatur je len tak silný, ako su jeho pravidla. A platí ze,ak sa objavi nový typ útoku (tzv. Zero day attack), v databáze nieje žiadna signatura, ktorá by umožnila jeho odhalenie. Porovnávanie signatur tiez nieje vhodný prostredok pre odhalenie skenovania v sieti. Podiel falošných poplachov je vcelku závislý na kvalite pravidiel, ak su pravidla príliš obecné, je podiel falošných poplachov znacný. Dalšou nevýhodou porovnávania signatur je obecne velká výpoctova nárocnost, to môže byt problémom pre nasadenie na rychlých sietach.

• Stavová analýza protokolu Stavová analýza protokolu má velku výhodu v tom, že protokoly su formálne specifikovane v dokumentoch RFC, ktoré definujú správne použitie a komunikaciu po nich. Všetky protokoly používajuce pripojenie majú definovaný stav. Každá udalost musí nastat v správnom okamžiku. To dává možnost popisat protokol ako stavový automat. Každý stav automatu odpoveda na nejaké časti priebehu pripojenia, napríklad server cakajuci na odpoved’ od klienta. Prechody medzi stavmi popisuju legitimne a ocakávané zmeny medzi stavy podla specifikacie protokolu. Napríklad, pripustné prechody zo stavu „server caká“ je stav „klient posiela data“, stav „klient ukoncil pripojenie“ alebo stav „server pripojenie vypršalo“. Specifikacia protokolov v RFC nemusí byt vždy kompletná, ale dává nám základní prvky pre stavbu modelu. Pri návrhu stavového automatu je možné sa zámerne odchýlit od specifikacie a podmienky prizpôsobit dalším požadiavkam. Výhodou oproti porovnávániu signatur je menej castá potreba aktualizacii. V prípade porovnánia signatur je nutné casto aktualizovat ich databázu, naopak u stavovej analýzy je nutná aktualizacia až so zmenou alebo s novým protokolem. Stavová analýza protokolu poskytuje citatelne informacie o siet’ovej anomálii, presne vieme, v kterom stavu automatu sa ona odchylka od normálu objavila.

• Behaviorálna analýza - technika behavioralnej analýzy predpokládá, že vznik anomálie môže byt detekovany s pomocou sledovania odchyliek od normálneho alebo predpokládaného chovánia siete, systému alebo uživatela. Model normálneho chovania je založeny na základe nasbieraných referencnych informacií. Akákolvek odchylka od nauceného chovania je automaticky považovana za anomáliu. To je jeden z problémov behaviorálnej analýzy, pretože cást detekovaných anomálií nebudu pravé hrozby, ktoré chceme detekovat. To je zpôsobené praktickou nemožnostou postihnut všetky korektne cinnosti v priebehu uciacej fázy. Menším, ale na prvy pohlad prekvapivým problémom môže byt postupná zmena onoho normálneho chovánia, pri ktorom dochádza k anomáliam, ktoré su detekováné, ale su pritom len prostriedkom pre zavedenie toho, co je normálne od daného okamžiku. Prirodzeným postupom je v pr iebehu zmien znovu zaviest režim ucenia, co so sebou prináša riziko ucenia s nevyžiadaným prvkom v chovania . Naopak velkou výhodou behaviorálnej analýzy je možnost detekcie nových hrozieb, na ktoré by napríklad detekcia pomocou porovnávania signatur vôbec nereagovala.

Vybrané sietové anomálie a ich charakteristika 1.Vertikálne skeny

Úcelom vertikálnych skenov je zistit, aké sietové služby respektive aké otevorené porty su na cielovom stroji dostupné. Najcastejsie sa skenuju TCP a UDP porty na bežné služby ako je HTTP, SSH, FTP a další. Vertikálne skeny nekladu velké nároky na prenosové pásmo a nemajú dlhu dobu trvánia. Patria tu: TCP SYN scan - umožnuje skenovanie jednotlivých portov bez dokoncenia procedury TCP spojení. Princip skenu je následujuci: na skenovaný port sa zašle TCP paket s SYN príznakom,v prípade, že je port uzavrený dostaneme odpoved’ RST. Ak je port otevorený dostaneme spätnu odpoved’ s príznakmi SYN a ACK. Tento sken nedokoncí spojovaciu TCP proceduru tym, že odošle paket s RST príznakom a tak dojde k ukonceniu spojenia TCP connect() scan- skenovanie regularnej procedury TCP spojení. V prípade zatvoreného portu je situacia rovnaka ako u SYN skenu. Zmena nastáva v prípade otevoreného portu. Po obdržaní odpovede s príznakmi SYN a ACK sa najprv naviaže spojenie pomocou príznaku ACK a hned potom sa spojenie uzavrie zasláním príznaku RST. FIN scan- spojenie s príznakom FIN, ten služí pre ukoncenie aktivneho TCP spojenia. Pri tomto druhu skenu sa odosiela paket s jediným nastaveným príznakom a to FIN. Využívá sa to, že ked nieje naviazane TCP spojenie nemôže byt ukoncene a preto skenovaná stanica na zatvorených portoch reaguje zasláním RST príznaku, u otevrených portoch není zaslana žiadna odpoved . TCP Null scan- je dokonalým príkladom paketu, ktorý by sa v normálnej prevadzke nikdy neobjavil. Tento paket má totiž všetky príznaky nastavene na vypnuto. UDP scan- skenuje nad protokolem UDP. UDP protokol nevyuživa príznaky a komunikacia je teda omnoho jednoduchšia. Po zaslání paketu na UDP port mozme ocakávat v prípade zatvoreného portu odpoved ICMP:Port Unrechable. V prípade, že ako odpoved’ dostaneme UDP paket obsahující data jedná sa o otevorený port.

2. Horizontální skeny

Cielom je niekolko pocítacov vecsinou zdielajuce rovnakú podsiet’. Na rozdiel od vertikálních nieje primárnym účelom zistit dostupné služby, ale len zistit pod akými sieťovými adresami sú dostupné počítače z miesta skenovania.

PING scan- „Princíp : stací vyslat ICMP Echo Request na cielovú stanicu a ak je stanica dostupná, odpovie ICMP Echo Reply. V prípade, že neobdržíme odpoved’, dochádza bud’ k filtrovániu ICMP paketov alebo je cielová stanica nedostupná. TCP SYN scan- je obdobou vertikálního skenu - skenuje sa viacej pocítacov naraz

3 Peer to Peer

Niesu zdaleka tak viazané na konkrétne porty a pokrocilejšie metody, ako porovnávanie signatur, sa stávajú neúcinnými díky maskovaniu prevadzky použitím napríklad SSL prenosu. Metoda porovnání signatur je taktiez velmi nárocná na výpocet výkonu a prostriedky na prevadzku hardwaru. Preto su pro detekciu asi najnadejnejšie metody behaviorálnej analýzy . Každá z P2P služieb má vzor komunikacie po sieti s ostatnymi Peermi a pomocnými servermi. Typické porty pro najrozšírenejšie P2P služby:

Limewire 6346/6347 TCP/UDP -je charakteristický velkým poctom UDP paketov o velkosti 35 a 23 bytov pri startu aplikacie. Pakety dlzky 23 bytov doprovádzaju taktiez zahájenie stahovania. BearShare default 6346 TCP/UDP -pri startu se odosielaju UDP pakety velkosti 28 bytov na velké množstvo rôznych IP adres. Edonkey 4662/TCP - pri vyhladávání je odoslany UDP paket o velkosti 25 bytov. Pri startu su typické UDP pakety o velkosti 6 bytov. EMule 4662/TCP 4672/UDP - po výberu serveru pre pripojenie sa odosielaju ‘server status request’ a ’get server info’, co su 6 bytové UDP pakety. Bittorrent 6881-6889 TCP/UDP WinMx 6699/TCP 6257/UDP

4. (D)DoS útoky

Denial of Service- je pokus o zamedzenie prístupu k službe zamýšlaným uživatelom. Účelem Dos útokov je napadnutie pocítac opakovane resetovat, vycerpat zdroje tak, aby nemohl dalej poskytovat svoje služby alebo zahltit komunikacne pásmo medzi bežným uživatelom a napadnutym pocítacom, aby nebylo možné jeho služby vzdialene používat. Príznaky DOS útoku: • Neobvyklé zpomalenie služby (pri otevaraní souborov ). • Nedostupnost casti alebo celých stránok. • Nemožnost sa pripojit na stránky. • Dramatický nárast poctu prijatých nevyžiadaných emailov.

5. SSH password cracking.

Je anomália zpôsobená pokusom o prelomenie SSH hesla hrubou silou. Služba SSH je typicky prístupná na porte 22 a po niekolkokátom neúspešnom pokuse o autentizaciu dojde večšinou k ukončeniu spojenia zo strany SSH serveru. Z toho vyplyva, že pokus o prelomenie SSH hesla sa na prevadzke ukáže ako velké množstvo typicky po sebe následujúcich pripojení na port 22, ktoré su ukoncené z cielovej adresy.