monitoring i bezpieczeństwo sieci ebook.pdf

Zalecane cele monitorowania

Wybieranie komponentów w ramach celów monitorowania

Blanco Wireless: Wybieranie celów monitorowania

Wnioski

Wybieranie róde zdarze .........................................................................................89

Zadanie róda danych

Wybieranie róde zdarze dla firmy Blanco Wireless

102

Wnioski

103

Dostosowywanie ....................................................................................................... 105

Sieciowe systemy wykrywania wama

105

Wdraanie systemu NIDS

111

Protokoy systemowe

124

NetFlow

141

róda alarmów bezpieczestwa w firmie Blanco Wireless

145

Wnioski

148

Utrzymywanie niezawodnych róde danych .......................................................... 149

Utrzymywanie konfiguracji urzdze

150

Monitorowanie monitorujcych

155

Monitorowanie baz danych

165

Automatyczne monitorowanie systemów

169

Monitorowanie systemów w firmie Blanco Wireless

173

Wnioski

180

Konkluzja: nie tra kontaktu z rzeczywistoci ........................................................181

Co moe si nie uda?

182

Studium przypadków

188

Opowieci zespoów CSIRT

194

Wymagania minimalne

195

Wnioski

201

Szczegóowa konfiguracja narzdzi OSU flow-tools ..............................................203

Konfigurowanie serwera

203

Konfigurowanie eksportu danych NetFlow na routerze

205

Szablon umowy o wiadczenie usug ....................................................................... 207

Umowa o wiadczenie usug: dzia sieci i dzia bezpieczestwa

207

Obliczanie dostpnoci .............................................................................................. 211

Skorowidz .................................................................................................................. 215

Spis treci

ROZDZIA 1.

Zaczynamy

By stycze 2003 roku. Praca na stanowisku inyniera sieci obsugujcego sieci centrów da-

nych w Cisco nie moga by lepsza. 21 stycznia mój zespó witowa wyczenie przez wice-

prezesa ostatniej centrali typu Avaya PBX, dziki czemu poczenia telefoniczne kampusu

Research Triangle Park (TRP) byy w 100 procentach obsugiwane w technologii VoIP. Wa-

nie zakoczylimy unowoczenianie okablowania i sprztu sieci WAN i mielimy nadziej

na zwikszenie dostpnoci naszych zdalnych centrów. Niestety 25 stycznia (to bya sobota)

robak SQL Slammer poczyni spustoszenie w sieciach caego wiata. Robak ten, znany równie

pod nazw Sapphire, atakowa niezabezpieczone serwery MS-SQL, wykorzystujc do tego

zoliwy i samorozprzestrzeniajcy si kod. Specjalici od zabezpiecze z pewnoci doskonale

pamitaj ten dzie. Technika rozprzestrzeniania si robaka moga tworzy efekt podobny do

ataku odmowy dostpu do usug (ang. denial-of-service — DoS), co powodowao wyczanie

kolejnych sieci.

Jedyn cech odróniajc tego robaka od normalnej komunikacji z serwerem SQL bya dua

liczba pakietów UDP o wielkoci 376 bajtów kierowanych na port 1434 1 .

Dostawcy usug internetowych zaczli blokowa ruch sieciowy za pomoc filtrów wejcia-wyj-

cia, ale byo ju za póno, eby uchroni swoje systemy przed infekcj. Chodzio tu raczej

o zabezpieczenie podstawowych struktur internetu.

Robak Sapphire by najszybciej rozprzestrzeniajcym si robakiem w historii. Od momentu roz-

poczcia dziaania w internecie podwaja swój rozmiar co 8,5 sekundy. W cigu 10 minut zainfe-

kowa ponad 90 procent komputerów podatnych na jego atak 2 .

Szybko replikacji robaka i liczba zainfekowanych systemów oraz sieci korporacyjnych szyb-

ko spowodowaa zapenienie linii komunikacyjnych kolejnymi próbami infekcji systemów.

Administratorzy sieci obsugujcy cza WAN w USA dowiedzieli si o problemie dopiero

wtedy, gdy ich pagery zaczy byska jak lampki boonarodzeniowe, przekazujc alarmy

o zwikszonym obcieniu sieci. Na zakoczenie otrzymywali tylko informacj protokou

SNMP — cze wyczone (ang. link down ). Pocztkowo sdzilimy, e problem zwizany jest

z kart sieciow D3, któr niedawno wymienilimy w jednym z naszych routerów. Jednak

w momencie gdy ten sam problem zaczy zgasza cza innych biur regionalnych, zorien-

towalimy si, e jest to co znacznie powaniejszego.

http://www.cert.org/advisories/CA-2003-04.html

http://www.caida.org/publications/papers/2003/sapphire/sapphire.html

Dowiadczalimy ju problemów z sieci powodowanych przez infekcje wirusami, takimi jak

Code Red (atakowa on podane serwery WWW Microsoft IIS), ale aden z nich nie spowo-

dowa nawet czci chaosu, jaki wywoa Slammer. Kilka zaraonych nim komputerów byo

w stanie wygenerowa ruch sieciowy zdolny przeciy cza sieci WAN i doprowadzi do

powanych problemów z cznoci z oddziaami na caym wiecie. Ostatecznie udao si

stwierdzi, e wikszo zaraonych systemów to nieaktualizowane serwery laboratoryjne.

Ich identyfikowanie i migrowanie byo naprawd zoonym zadaniem:

Wdroonych zostao zbyt mao systemów wykrywania wama do sieci (ang. network

intrusion detection systems — NIDS), a na dodatek nikt nie by odpowiedzialny za przegl-

danie i reagowanie na alarmy zgaszane przez zainfekowane systemy.

Systemy telemetrii sieciowej (takie jak NetFlow) i wykrywania anomalii nie byy wystar-

czajce, aby zidentyfikowa zainfekowane systemy.

Nie byo moliwoci ustalania priorytetów zgosze. Mielimy do dyspozycji tylko adre-

sy IP i nazwy DNS zainfekowanych komputerów. Niestety zabrako informacji kontek-

stowych, takich jak „serwer obsugi danych”, „komputer uytkownika w sieci LAN” albo

„serwer laboratoryjny”.

W cigu kolejnych 48 godzin zespoy specjalistów od sieci identyfikoway zainfekowane sys-

temy, korzystajc z powolnego procesu polegajcego na rozsyaniu zalecanych list kontroli

dostpu (ang. access control list — ACL) do wszystkich routerów WAN 3 , które miay blokowa

pakiety. Wszystkie trafienia zasady kontroli dostpu (ang. access control entry — ACE) bloku-

jcej pakiety UDP na porcie 1434 oznaczay zainfekowany komputer. Nie moglimy jednak

zidentyfikowa adresów IP komputerów tworzcych takie trafienia, poniewa dodanie opcji

„log” do tej reguy powodowao lawinowy wzrost wykorzystania procesorów w routerach

i drastycznie zmniejszao wydajno pracy sieci. Kolejny krok polega na analizowaniu wy-

korzystania portów na przecznikach sieciowych i wyszukiwaniu w ten sposób zainfekowa-

nych komputerów, a nastpnie blokowaniu im feralnego portu. Ten proces wymaga sporej

liczby ludzi i oczywicie czasu.

Jeeli zaimplementowalibymy cho kilka zabezpiecze omawianych w niniejszej ksice, na-

sze zespoy techników mogyby znacznie szybciej ograniczy moliwoci dziaania robaka.

Waciwe wdroenie systemów NIDS pozwolioby na natychmiastowe uzyskanie adresów IP

zainfekowanych systemów i odpowiedni ich segregacj w zalenoci od przynalenoci do

poszczególnych sieci (serwery centrów danych, serwery laboratoryjne, komputery biurkowe

— bdziemy o tym mówi w rozdziale 6.). Jeszcze przed wykorzystaniem sygnatur systemów

NIDS moglibymy uy systemu NetFlow, aby wykry zainfekowane komputery za pomoc

wykrywanych wzorców ruchu sieciowego, o których bdziemy mówi w rozdziale 3. Na pod-

stawie tych informacji mona przygotowa dobrze zaplanowan, prioretyzowan odpowied

na zagroenie, a na zainfekowane systemy mona by naoy odpowiednie ograniczenia. Sa-

ma informacja o adresach IP z systemu NetFlow pozwoliaby ma szybk, manualn inspekcj

tablic ARP i powiza adresów MAC z adresami IP w routerach. Dziki tym informacjom

administratorzy mogliby szybko wyczy odpowiednie porty w przecznikach sieciowych

i zablokowa moliwoci rozprzestrzeniania si robaka.

W tej ksice opisujemy infrastruktur oraz narzdzia, które bardzo pomogyby nam kilka

miesicy póniej, gdy zaatakowa robak Nachi. Niestety nie bylimy w stanie tego przewidzie

i Nachi spowodowa te same zniszczenia i by ograniczany w tym samym manualnym proce-

sie co robak Slammer.

http://www.cisco.com/warp/public/707/cisco-sn-20030125-worm.shtml

Rozdzia 1. Zaczynamy

Szybko zmieniajcy si ksztat zagroe

Chyba kady sysza ju, e „dawno miny dni, gdy nastolatki i script kiddies siali zamt tyl-

ko po to, eby si pokaza”. W kocu lat 90. i na pocztku XXI wieku mona byo zauway

ogromny wzrost liczby ataków tylu DoS. Szkodliwe oprogramowanie (ang. malware ) bdce

gówn si napdow tych ataków rozwino si z prostych programów atakujcych poje-

dyncz luk w wielkie i zoone systemy wykorzystujce wiele luk w systemie operacyjnym

i rónych aplikacjach.

Przyjrzyjmy si opisowi metody infekcji stosowanej przez robaka Nachi (z 2003 roku):

Ten robak rozprzestrzenia si, wykorzystujc luki w systemie Microsoft Windows (MS03-026).

Atakowane s równie serwery WWW (IIS 5) podatne na atak MS03-007 na porcie 80 poprzez

usug WebDev 4 .

A oto informacje na temat bardzo popularnego wirusa o nazwie SDBot z 2006 roku:

Robak rozprzestrzenia si za porednictwem udostpnionych i sabo zabezpieczonych udziaów

sieciowych, a niektóre wersje próbuj wykorzysta podane niej luki w rónych systemach:

Wykorzystuje luk w usudze WebDav (MS03-007).

Wykorzystuje luk w LSAAS (MS04-011).

Wykorzystuje luk w ASN.1 (MS04-007).

Wykorzystuje luk w usugach Workstation Service (MS03-049).

Wykorzystuje luk w PNP (MS05-039).

Wykorzystuje luk w obsudze nazwy uytkownika przy logowaniu do usugi IMAPD.

Wykorzystuje luk w systemie autoryzacji HTTP w systemie Cisco IOS.

Wykorzystuje luk w usugach serwerowych (MS06-040).

Próbuje si rozprzestrzenia za pomoc domylnych udziaów administracyjnych, takich jak:

PRINT$

ADMIN$

IPC$

Niektóre warianty wirusa wyposaone s te w listy sabych kombinacji nazwy uytkownika i ha-

sa, która pozwala na dostp do tych udziaów.

Wykorzystuje sabe hasa i konfiguracje.

Niektóre wersje próbuj dosta si do serwerów MS SQL za pomoc sabych hase administracyj-

nych. W przypadku powodzenia wirus moe wykona zdalnie polecenia systemowe za pored-

nictwem serwera SQL 5 .

Ta bardziej zaawansowana forma zoliwego oprogramowania zawiera komponenty pozwa-

lajce jej na kontynuowanie dziaania po ponownym uruchomieniu komputera, a nawet ukry-

wanie si przed programami antywirusowymi. Co wicej, zastosowano w nim techniki za-

ciemniania kodu utrudniajce analiz przechwyconego wirusa! Wiele tego typu programów

zawiera te komponenty pozwalajce na kradzie informacji z zainfekowanych systemów

http://vil.nai.com/vil/content/v_100559.htm

http://vil.nai.com/vil/content/v_139565.htm

Szybko zmieniajcy si ksztat zagroe

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: