Bezpieczenstwo w sieciach tcp-ip - Piort Kijewski, Krzysztof Szczypiorski.pdf - Sieci Komputerowe - rafulus

Piotr KIJEWSKI*, Krzysztof SZCZYPIORSKI*

Bezpieczeństwo w sieciach TCP/IP 1)

Klasyczne protoko³y rodziny TCP/IP nie zapewniaj¹ podstawo-

wych us³ug ochrony informacji, takich jak kontrola dostêpu, pouf-

noœæ, integralnoœæ czy uwierzytelnienie. Podczas prac nad ich

udoskonalaniem powsta³y dwie grupy zabezpieczeñ:

M systemy ochrony informacji – specjalistyczne mechanizmy

analizuj¹ce dzia³anie protoko³ów wymiany danych (np. systemy

wykrywania w³amañ),

M nowe protokoły zabezpieczeń i rozszerzenia aplikacji (np.

Transport Layer Security – TLS ).

Celem artyku³u jest przedstawienie metodyki ataków na sieci

TCP/IP, w tym na sieæ Internet oraz usystematyzowanego

przegl¹du stosowanych w tych sieciach zabezpieczeñ przez

prezentacjê logicznej ewolucji

poszczególnych klas metod za-

bezpieczeñ, ze szczególnym za-

znaczeniem kierunków ich

rozwoju.

W kolejnych trzech czêœciach

artyku³u przedstawiono uogólnio-

ne spojrzenie na te ataki oraz

wspomniane wy¿ej dwie grupy

metod zabezpieczeñ. Nastêpnie

przedstawiono inne istotne, zda-

niem autorów, zagadnienia zwi¹-

zane z kszta³towaniem siê metod

ochrony informacji w sieciach

TCP/IP. W podsumowaniu przed-

stawiono najwa¿niejsze wnioski

wynikaj¹ce z opracowania.

W niniejszym artykule przez

model sieci bêdzie rozumiany

czterowarstwowy model sieci

TCP/IP . Niestety, znane z lite-

ratury angielskiej odpowiedniki

niektórych mechanizmów zabez-

pieczeñ (np. circuit level gateway )

nie maj¹ czytelnych i jednoznacznych polskich okreœleñ. U¿ywa-

j¹c pojêcia sieci TCP/IP, mamy na myœli wszystkie sieci wyko-

rzystuj¹ce stos protoko³ów TCP/IP, a wiêc oprócz Internetu, jego

mniej lub bardziej lokalne odmiany, takie jak np. intranet i ekstra-

net.

M systemem przetwarzania danych przeprowadzaj¹cym ope-

racje na danych (tzw. danych przetwarzanych),

M systemem przechowywania danych sk³aduj¹cym te dane

(tzw. przechowywane dane).

Te elementy funkcjonalne s¹ sk³adowymi komputerów siecio-

wych (np. serwerów internetowych), ruterów i innych urz¹dzeñ.

Historycznie najwczeœniej zainteresowano siê ochron¹ infor-

macji w samodzielnie dzia³aj¹cych komputerach, a dok³adnie

w systemach przechowywania danych, takich jak bazy danych

czy systemy plików. W momencie szerszego zainteresowania

sieciami telekomunikacyjnymi spostrze¿ono, ¿e istotna jest

ochrona danych przekazywanych pomiêdzy maszynami. W koñ-

O Rys 1. Zależności funkcjonalne pomiędzy podstawowymi elementami sieci

cu dostrze¿ono rolê w³aœciwego, od strony bezpieczeñstwa,

przetwarzania danych za pomoc¹ aplikacji.

¯eby lepiej zidentyfikowaæ kwestie zwi¹zane z bezpieczeñ-

stwem podstawowych elementów sieci (traktowanych dalej jako

zasoby), wprowadzono trzy pojêcia: zagrożenie , słaby punkt

(podatność) i skutek . Wykorzystuj¹c te pojêcia mo¿na wprowa-

dziæ taksonomiê ilustruj¹c¹ ideê ataków na zasoby sieci Internet.

ród³em zagrożeń s¹ osoby, obiekty lub zdarzenia, które mo-

g¹ naruszyæ bezpieczeñstwo danego zasobu. Przez zagro¿enie

wewnêtrzne rozumie siê zagro¿enia wynikaj¹ce z posiadania

w³adzy nad czêœci¹ lub ca³oœci¹ zasobu, przez zagro¿enia ze-

wnêtrzne – pozosta³e.

Słabymi punktami (podatnościami) zasobu okreœla siê

newralgiczne, ze wzglêdu na bezpieczeñstwo, obszary i frag-

menty zasobu. S³aby punkt, nazywany nieformalnie „dziur¹”,

stanowi niekontrolowan¹ drogê do zasobu i mo¿e zostaæ wykry-

ty, a nastêpnie wykorzystany przez osobê, obiekt lub zdarzenie

– czyli przez Ÿród³o zagro¿enia. Celem wprowadzania zabezpie-

czeñ jest wyeliminowanie tych s³abych punktów. S³abe punkty

mo¿na znaleŸæ w projekcie, w implementacji lub w konfiguracji

zasobów.

ATAKI NA SIECI TCP/IP

Architekturê sieci TCP/IP mo¿na opisaæ za pomoc¹ relacji po-

miêdzy trzema podstawowymi elementami funkcjonalnymi (rys. 1):

M systemem komunikacji wykorzystuj¹cym protoko³y komuni-

kacyjne w celu przekazywania danych (tzw. danych w „ruchu”)

pomiêdzy urz¹dzeniami sieciowymi lub maszynami,

* Instytut Telekomunikacji Politechniki Warszawskiej, e−mail:

P.Kijewski@tele.pw.edu.pl, K.Szczypiorski@tele.pw.edu.pl

1) Artyku³ jest uaktualnion¹ i rozszerzon¹ wersj¹ referatu Kierunki rozwoju

zabezpieczeñ w sieciach TCP/IP wyg³oszonego na Krajowym Sympozjum

Telekomunikacji KST’99

PRZEGLĄD TELEKOMUNIKACYJNY ! ROCZNIK LXXIV ! nr 5–6/2001

367

Bezpoœredni wynik pogwa³cenia integralnoœci zasobu – wyko-

rzystania s³abego punktu – okreœla siê mianem skutku . Typowe

skutki przeprowadzonego ataku to:

M nieautoryzowany dostêp – wykorzystanie zasobu przez nie-

uprawnione podmioty,

M podszycie siê – spreparowanie danych wskazuj¹cych na in-

nego nadawcê,

M wyciek (przechwycenie) danych,

M modyfikacja danych,

M przejêcie po³¹czenia sieciowego,

M odmowa us³ugi – uniemo¿liwienie skorzystania z us³ugi lub

degradacja parametrów jej obs³ugi.

Z punktu widzenia bezpieczeñstwa ka¿demu z wyró¿nionych

elementów (zasobów) mo¿e byæ przypisany inny mechanizm za-

bezpieczeñ.

Na rys. 2 przedstawiono cykliczn¹ relacjê pomiêdzy zagro¿e-

niem, s³abym punktem a skutkiem. Zagro¿enie wykorzystuje s³a-

by punkt, aby osi¹gn¹æ pewien cel (skutek). Skutek mo¿e

przerodziæ siê w nowe potencjalne Ÿród³o zagro¿enia. Na sku-

teczne wykorzystanie s³abego punktu mo¿e wp³yn¹æ kilka zagro-

¿eñ, podobnie jak skutek mo¿e byæ osi¹gniêty przez odkrycie

(eksploracjê) kilku s³abych punktów.

O Rys. 3. Propagacja błędów w stosie protokołów TCP/IP. Oznacze−

nia: ARP – Address Resolution Protocol, ICMP – Internet Control

Message Protocol, IGMP – Internet Group Management Protocol , IP

– Internet Protocol , RARP – Reverse Address Resolution Protocol,

TCP – Transmission Control Protocol , UDP – User Datagram Proto−

col

O Rys. 4. Schemat typowego włamania

O Rys. 2. Taksonomia ataków oparta na cyklicznej relacji pomiędzy

zagrożeniem, słabym punktem oraz skutkiem

Rys. 4 obrazuje schemat typowego w³amania do urz¹dzenia

sieciowego. Atakuj¹cy uzyskuje dostêp do systemu operacyjnego

(1) na poziomie zwyk³ego u¿ytkownika wykorzystuj¹c s³abe punk-

ty us³ug. Uzyskanie dostêpu mo¿e byæ poprzedzone zbieraniem

(tzw. skanowaniem) informacji o dostêpnych us³ugach, wersjach

aplikacji, wersji systemu operacyjnego, strukturze sieci i u¿ytkow-

nikach. W kolejnym etapie (2) atakuj¹cy wykorzystuje s³aby punkt

w aplikacji uruchomionej w systemie operacyjnym umo¿liwiaj¹cy

uzyskanie nieograniczonych praw administratora systemu. Na-

stêpnie (3) mo¿e „ukryæ siê w systemie” przez modyfikacjê syste-

mu operacyjnego (np. standardowego oprogramowania

systemowego) i logów systemowych. Tak opanowany system

mo¿e pos³u¿yæ jako „baza wypadowa” do nastêpnego ataku (4).

Faza (1) i (2) mo¿e byæ pominiêta, jeœli w trakcie zdalnego skano-

wania celu atakuj¹cy znajdzie s³aby punkt umo¿liwiaj¹cy bezpo-

œrednie uzyskanie praw administratora (1’). Przechodzenie

w³amywaczy t¹ drog¹ z jednej maszyny na drug¹ jest czasami na-

zywane „skakaniem z wyspy na wyspê” ( island hopping ).

Stos protoko³ów TCP/IP, ze wzglêdu na niezbyt wyraŸne za-

znaczenie granic pomiêdzy ni¿szymi warstwami, a tak¿e du¿¹

swobodê we wprowadzaniu nowych aplikacji, cechuje siê szcze-

góln¹ podatnoœci¹ na propagacjê b³êdów. Postêpuj¹ca przewa¿-

nie od najni¿szych warstw propagacja polega na destabilizacji

lub os³abieniu wiarygodnoœci protoko³ów warstw wy¿szych. Przy-

k³adowo (rys. 3) s³abe punkty protoko³u ARP ( Address Resolu-

tion Protocol – warstwa fizyczna) implikuj¹ niestabilne zachowa-

nie siê protoko³ów ze wszystkich wy¿szych warstw, a s³abe

punkty TCP – niestabilnoœæ aplikacji, takich jak np. HTTP ( Hyper-

Text Transfer Protocol ), telnet, FTP ( File Transfer Protocol ). Sto-

sunkowo rzadko mamy do czynienia z propagacj¹ b³êdów od

warstw najwy¿szych do najni¿szych, za przyk³ad mo¿e pos³u¿yæ

wp³yw protoko³u SNMP ( Simple Network Management Protocol

– warstwa aplikacji) na konfiguracjê wêz³ów. Oprócz pionowej

propagacji b³êdów niekiedy mamy do czynienia z propagacj¹ po-

ziom¹ – w obrêbie jednej warstwy, np. podszycie siê na poziomie

DNS ( Domain Name System ) bêdzie implikowaæ nierzeteln¹ pra-

cê aplikacji wykorzystuj¹cych tê us³ugê.

EWOLUCJA SYSTEMÓW OCHRONY

INFORMACJI

Obecnie zostan¹ omówione dwa charakterystyczne dla sieci

TCP/IP systemy ochrony informacji: ściany przeciwogniowe

( firewalls ) i systemy wykrywania włamań . Dla ka¿dego z sys-

368

PRZEGLĄD TELEKOMUNIKACYJNY ! ROCZNIK LXXIV ! nr 5–6/2001

temów przedstawiono klasyfikacjê, ewolucjê oraz zalety i wady

obecnie spotykanych rozwi¹zañ.

Zastosowanie obydwu klas jest komplementarne. Zadaniem

œcian przeciwogniowych jest kontrolowanie dostêpu do podsieci

lub pojedynczej stacji. Jest to zatem rola ukierunkowana na ze-

wn¹trz. Systemy wykrywania intruzów analizuj¹ ruch wewn¹trz

podsieci i pracê umieszczonych w niej systemów operacyjnych,

operuj¹ na informacjach, które maj¹ dostêp do tej podsieci. Jest

to wiêc rola „introwertyczna”, czyli wewnêtrzna.

prezentowane na szeœciu flagach 2) . Powy¿szego ograniczenia nie

maj¹ aktywne filtry pakietów ( stateful, active lub dynamic filters )

zachowuj¹ce kontekst sesji pomiêdzy aplikacjami przez utworze-

nie „wirtualnego po³¹czenia” tak¿e dla UDP.

Bramy na poziomie aplikacji ( application level

gateways )

Pierwsz¹ odmian¹ bram na poziomie aplikacji jest prymityw−

na brama, która jako dedykowana maszyna w sieci lokalnej po-

œredniczy w komunikacji z sieci¹ zewnêtrzn¹. Zwyczajowo bra-

ma tej klasy jest nazywana bastion hostem . Bez jej poœrednic-

twa nie jest mo¿liwa wymiana danych pomiêdzy aplikacj¹ uru-

chomion¹ w sieci lokalnej a aplikacj¹ rezyduj¹c¹ w sieci

zewnêtrznej. Praca z pierwszymi bastion hostami polega³a na

uruchomieniu na nich zdalnej sesji, a nastêpnie na po³¹czeniu

siê z docelow¹ maszyn¹. Podstawow¹ wadê tego rozwi¹zania –

bezpoœredni dostêp do kont na bramie – usuwaj¹ proxy nie−

przezroczyste . S¹ one zwi¹zane z konkretnym protoko³em apli-

kacyjnym – zatem ka¿dy z nich wymaga zaimplementowania

innej wersji mechanizmu. Aplikacje oraz u¿ytkownicy musz¹ byæ

poinformowani o obecnoœci proxy (brak przezroczystoœci) –

utrudnia to zarówno zarz¹dzanie sieci¹, jak i pracê w niej. Naj-

nowsza generacja bram na poziomie aplikacji jest pozbawiona

tej uci¹¿liwej cechy i nosi nazwê proxy przezroczyste ( transpa-

rent proxy ). W tym przypadku œciana przeciwogniowa „przechwy-

tuje” po³¹czenie i automatycznie kieruje je na proxy .

Œciany przeciwogniowe ( firewalls )

Zadania i klasyfikacja

Œciany przeciwogniowe nale¿¹ do pierwszej generacji syste-

mów zabezpieczeñ dla sieci TCP/IP. Ich pojawienie siê by³o od-

powiedzi¹ na zagro¿enia wynikaj¹ce z faktu, ¿e w sieciach

TCP/IP ka¿dy wêze³ mo¿e skomunikowaæ siê z dowolnym innym

wêz³em. Firewall realizuje us³ugê kontroli dostêpu do wybranej

warstwy sieci przez filtrowanie lub pośredniczenie w przeka−

zywaniu (funkcja proxy ) jednostek danych.

Ze wzglêdu na umiejscowienie w warstwach sieci (a zatem na

technikê dzia³ania) wyró¿nia siê trzy kategorie œcian przeciwo-

gniowych (rys. 5):

M filtry pakietów (warstwy: ³¹cza danych, sieciowa, transporto-

wa),

M bramy na poziomie sesji – circuit level gateway (na gra-

nicy warstwy transportowej i us³ugowej – „odpowiednik” warstwy

sesji w OSI RM ),

M bramy na poziomie aplikacji – application level gateway

(warstw¹ us³ugowa).

Bramy na poziomie sesji

Firewalle typu brama na poziomie sesji ( circuit level gateways )

pe³ni¹ rolê uogólnionych (ale nie do koñca inteligentnych) pro-

xy – nie s¹ zwi¹zane z konkretnym protoko³em aplikacji. Dziêki

O Rys. 5. Ewolucja i podział systemów typu firewall

W kolejnych trzech podpunktach omówiono poszczególne ty-

py œcian przeciwogniowych.

temu transport danych przez bastion hosta staje siê o wiele

prostszy, z punktu widzenia administrowania sieci¹. Po odpo-

wiednim dostosowaniu oprogramowania (np. po w³aœciwej

kompilacji klienta) bramy te s¹ zawsze przezroczyste dla u¿yt-

kownika 3) .

Filtry pakietów

Pierwsze prymitywne filtry pakietów opieraj¹ swoje dzia³anie

na analizie adresów Ÿród³a i przeznaczenia na poziomie protoko-

³u IP oraz na poziomie warstwy ni¿szej (np. Medium Access Con-

trol – MAC w sieciach LAN ). Na podstawie regu³ okreœlonych dla

adresów, filtr decyduje o tym, czy „przegl¹dany” pakiet ma byæ

przekazany do odpowiedniego wêz³a czy te¿ usuniêty. Pasywne

filtry pakietów ( static filters ) dodatkowo analizuj¹ nag³ówek pro-

toko³u warstwy transportowej – rozró¿niaj¹ typ protoko³u ( TCP ,

UDP ) oraz poszczególne flagi (tylko TCP). W przypadku protoko-

³u bezpo³¹czeniowego, jakim jest UDP, filtr pakietu nie ma mo¿li-

woœci wywnioskowania kontekstu wys³ania datagramu; w TCP

(protokole po³¹czeniowym) informacje o stanie po³¹czenia s¹ re-

Adaptacyjna ściana przeciwogniowa

Adaptacyjna ściana przeciwogniowa ( adaptive lub cut-

-through firewall ) jest hybryd¹ trzech poprzednich odmian – jej

dzia³anie polega na równoleg³ym zastosowaniu wszystkich mo¿-

liwych metod obs³ugi danego ruchu (odpowiednie poœrednicze-

nie b¹dŸ filtrowanie). Np. pocz¹tkowe po³¹czenie klienta z ser-

werem zostaje przeanalizowane na poziomie aplikacji przez pro-

xy przezroczyste, a nastêpnie po podjêciu decyzji na temat jego

charakteru kolejne porcje danych s¹ przetwarzane przez aktyw-

ny filtr pakietów.

2) Niektórych us³ug bazuj¹cych na TCP nie mo¿na w ten sposób bezpiecz-

nie filtrowaæ (np. aktywnego ftp)

3) Obecnie wiekszoœæ oprogramowania nie wymaga ingerencji

PRZEGLĄD TELEKOMUNIKACYJNY ! ROCZNIK LXXIV ! nr 5–6/2001

369

O Tabela 1. Zalety i wady obecnie dostępnych systemów typu firewall

Filtr pakietów

Brama na poziomie aplikacji Bramy na poziomie sesji

Adaptacyjna ściana

przeciwogniowa

Zalety

! szybkoœæ w dzia³aniu – zniko-

my wp³yw na obci¹¿enie

wêz³a i spadek przep³ywnoœci

! elastycznoœæ

! brak bezpoœrednich po³¹czeñ

! przezroczystoœæ

! mo¿liwoœæ uwierzytelnienia

! analiza zawartoœci informacyj-

nej – wydanych poleceñ itp.,

! rozbudowane mo¿liwoœci

logowania

! brak bezpoœrednich po³¹czeñ

! przezroczystoœæ

! mo¿liwoœæ uwierzytelnienia

! szybszy od bramy na

poziomie aplikacji

! zalety pozosta³ych trzech klas

Wady

! brak mo¿liwoœci uwierzytel-

nienia

! nie rozumie protoko³u

warstwy aplikacji

! bezpoœrednia komunikacja

z sieci¹ chronion¹

! elastycznoœæ

! trudna konfiguracja

! wolniejszy od filtrów pakietów

i od bram na poziomie sesji

(circuit level gateway)

! brak wsparcia dla nowszych

protoko³ów (do czasu napisa-

nia odpowiednich modu³ów)

! wolniejszy od filtrów pakietów·

nie rozumie protoko³u

warstwy aplikacji

! nadmiar elastycznoœci

(mo¿liwe ustawienie

s³abszego trybu

zabezpieczenia)

Zalety i wady

M R−boxes ( Response units ) – jednostki reaguj¹ce.

Ze wzglêdu na Ÿród³o zdarzenia zewnêtrznego (a zatem

i umiejscowienia E-box ) systemy wykrywania w³amañ dzieli siê

na dwie grupy (rys.7):

M oparte na systemie operacyjnym hosta ( host based ), któ-

re analizuj¹ informacje w pozosta³ych warstwach zaimplemento-

wanych w wêŸle – dzia³aj¹ na poziomie systemu operacyjnego

( system based ) lub uruchamianych w nim aplikacji ( application

based ),

M oparte na sieci ( network based ), które pobieraj¹ informacje

z warstwy ³¹cza danych przez pods³uch kana³u transmisyjnego,

w tym przypadku s¹ analizowane: nag³ówki protoko³ów ( traffic

based ) lub zawartoœæ pola danych ( content based ).

W odró¿nieniu od œcian przeciwogniowych, które od pocz¹tku

swojego istnienia operowa³y na strumieniach danych w czasie

rzeczywistym, pierwsze IDS by³y systemami off-line .

Tabela 1 zawiera zestawienie zalet i wad obecnie spotykanych

systemów typu firewall.

Przyszłość firewalli

Ewolucja systemów firewall wydaje siê zakoñczona. Zauwa-

¿alne na rynku trendy dotycz¹ przede wszystkim udoskonalenia

implementacji (specjalizowane uk³ady cyfrowe), dedykowania

œciany przeciwogniowej jednej maszynie, a nie ca³ej podsieci (na

co pozwalaj¹ wspó³czesne komutatory), zwiêkszenia funkcjonal-

noœci (np. ochrona antywirusowa – VirusWall ).

Czêsto œciany przeciwogniowe umo¿liwiaj¹ konfigurowanie

wirtualnych sieci prywatnych ( VPN – Virtual Private Network )

przez tworzenie szyfrowanych kana³ów, np. na bazie IPsec albo

indywidualnych rozwi¹zañ producentów. Oprócz tego czêsto fire-

walle s¹ wyposa¿one w u¿yteczn¹, m. in. w zastosowaniach in-

tranetowych, funkcjê translacji adresów z wewnêtrznych na

internetowe ( NAT – Network Address Translation ).

Systemy wykrywania w³amañ

Zadania. Klasyfikacja

Systemy wykrywania włamań ( Intrusion Detection Systems

– IDS ), mimo ¿e pojawi³y siê w szcz¹tkowej formie przed firewal-

lami, nale¿¹ do drugiej generacji systemów zabezpieczeñ prze-

znaczonych dla sieci TCP/IP. Przez włamanie jest rozumiana

sekwencja zdarzeñ zagra¿aj¹cych bezpieczeñstwu sieci. Zada-

niem IDS jest odnotowanie faktu w³amania, a tak¿e odpowiednia

na nie reakcja 4) .

Przedstawiona w tym artykule klasyfikacja IDS jest oparta na

architekturze CIDF ( Common Intrusion Detection Framework –

wspólna architektura wykrywania w³amañ [5]) i uwzglêdnia funk-

cjonalnoœæ systemów. Wed³ug CIDF w systemach wykrywania

w³amañ mo¿na wyró¿niæ cztery komponenty (rys. 6):

M E−boxes ( Event generators ) – generatory zdarzeñ systemo-

wych – analizuj¹ce zewnêtrzne zdarzenia,

M A−boxes ( event Analyzers ) – analizatory zdarzeñ systemo-

wych,

M D−boxes ( event Databases ) – bazy danych,

O Rys. 6. Wspólna architektura wykrywania włamań (por. [6])

4) Reakcja mo¿e polegaæ np. na powiadomieniu administratora sieci, przez

wys³anie krótkiej informacji tekstowej (SMS) na telefon komórkowy albo na

odciêciu podejrzanego po³¹czenia; w tym artykule przyjêto, ¿e reakcja na-

le¿y do funkcji IDS (inaczej ni¿ w [1])

O Rys. 7. Ewolucja i podział systemów IDS ze względu na źródło

zdarzenia zewnętrznego

370

PRZEGLĄD TELEKOMUNIKACYJNY ! ROCZNIK LXXIV ! nr 5–6/2001

Ze wzglêdu na sposób analizy danych ( A-boxes ) wyró¿nia siê

systemy wykrywaj¹ce anomalie ( anomaly detection ) i naduży−

cia ( misuse detection ). W systemie IDS przyjmuje siê pewien

model standardowego zachowania u¿ytkowników sieci. Wszelkie

zachowania niezgodne z przyjêtymi zasadami s¹ uznawane za

anomalie (np. wiêksze wykorzystanie mocy obliczeniowej, u¿ycie

przez u¿ytkownika niestandardowej sekwencji komend). Nato-

miast nadu¿ycie jest rodzajem zachowania, które IDS rozpozna-

je jako konkretny atak na system.

Jednostki reaguj¹ce ( R-boxes ) w najnowszych systemach IDS

maj¹ zdolnoœæ podejmowania decyzji s³u¿¹cych z³agodzeniu

skutków w³amania, mog¹ te¿ „przekierowywaæ” intruza na spe-

cjaln¹ maszynê-pu³apkê. Stare systemy jedynie logowa³y rozpo-

znane zdarzenia i informowa³y o tym administratora.

Bazy danych ( D-boxes ) zawieraj¹: znane wzorce ataków (zwa-

ne niekiedy sygnaturami), profile zachowañ u¿ytkowników i sys-

temu, œcie¿ki œladów (logi wygenerowane przez pozosta³e

komponenty systemu).

Wady zwi¹zane z niewystarczaj¹c¹ iloœci¹ informacji dotycz¹-

cych perspektywy dzia³ania wybranego typu IDS (np. opartego

na systemie operacyjnym hosta) mo¿na wyeliminowaæ przez roz-

proszenie funkcjonalnoœci systemu IDS, np. przez zastosowanie

autonomicznych agentów rezyduj¹cych w wêz³ach sieciowych.

Nast¹pi wtedy korelacja wiadomoœci odbieranych ze wszystkich

warstw sieci.

Wydaje siê doœæ skomplikowane analizowanie przez system

IDS zaszyfrowanego strumienia danych. W takim przypadku dla

wszystkich relacji zaufania w sieci IDS musia³by staæ siê zaufa-

n¹ trzeci¹ stron¹, b¹dŸ te¿ wszystkie systemy ochrony informa-

cji (np. TLS – patrz dalej) powinny mieæ wsparcie dla systemu

IDS – przekazywaæ dane niezbêdne do jego pracy po uprzednim

ich odszyfrowaniu.

Współpraca systemów wykrywania włamań

ze ścianami przeciwogniowymi

Trzecia generacja systemów zabezpieczeñ bêdzie ³¹czyæ

w sobie funkcje systemów wykrywania w³amañ i œcian przeciwo-

gniowych. Integracja wp³ynie na wiêksz¹ ich elastycznoœæ przy

reagowaniu na anomalie czy te¿ nadu¿ycia, a tak¿e zmniejszy

redundancje informacji przechowywanych w bazach danych.

Zalety i wady IDS

Tabela 2 zawiera zestawienie zalet i wad obecnie spotykanych

systemów IDS.

O Tabela 2. Zalety i wady systemów IDS

IDS oparty na

systemie

operacyjnym hosta*

IDS oparty na sieci

IDS wykrywający

anomalie

IDS wykrywający

nadużycia

Zalety

! obserwuje i interpre-

tuje zdarzenia w kon-

tekœcie znanego

systemu operacyjne-

go albo aplikacji

! ³atwo monitoruje ca³e podsieci

! obserwuje i interpretuje zdarzenia na najni¿szej

warstwie sieci

! mo¿e wykrywaæ nie-

znane ataki

! mo¿e wykrywaæ

znane ataki i ich

warianty

Analizujące nagłówki

protokołów ( traffic

based )

! generuje ma³¹ liczbê

logów

! nie ingeruje

w prywatnoœæ sesji

Analizujące zawartość

pól danych ( content

based )

! wykrywa wiêcej

ataków ni¿

analizuj¹cy nag³ówki

protoko³ów ( traffic

based )

Wady

! nie obserwuje

warstw ni¿szych

! trudno monitoruje

ca³e podsieci

! (potencjalnie)

generuje du¿o logów

! trudno okreœliæ, co siê dzieje na docelowej stacji

! podatne na takie ataki, jak odmowa us³ugi,

modyfikacja

! strata pakietów przy wiêkszym obci¹¿eniu sieci

! potencjalnie du¿a

liczba fa³szywych

ataków – trudny

dobór odpowiednich

parametrów pracy

! mo¿liwoœæ „szkole-

nia” systemu przez

atakuj¹cego

! mo¿e wykrywaæ tylko

znane ataki

Analizujące nagłówki

protokołów ( traffic

based )

! wykrywa mniej

ataków ni¿

analizuj¹cy

zawartoœæ pól

danych ( content

based )

Analizujące

zawartość pól danych

(content based)

! nie potrafi

analizowaæ

zaszyfrowanych

danych

! (potencjalnie)

generuje du¿o logów

* dzia³aj¹cy na poziomie systemu operacyjnego ( system based ) i uruchamianych w nim aplikacji ( application based )

Przyszłość systemów IDS

W przysz³oœci jest planowane rozszerzenie pola zastosowania

IDS do sieci rozleg³ych (np. Internet) oraz wyeliminowanie obec-

nych ograniczeñ (tabela 2). W tym celu prowadzi siê prace w gru-

pie roboczej IDWG ( Intrusion Detection Exchange Format ) IETF

oraz w ramach CIDF standaryzuj¹ce wymianê informacji na te-

mat wykrytych przypadków w³amañ pomiêdzy ró¿nymi systema-

mi oraz komponentami IDS 5) .

EWOLUCJA PROTOKOŁÓW

ZABEZPIECZEŃ I ROZSZERZEŃ

APLIKACJI

Ewolucjê protoko³ów zabezpieczeñ i rozszerzeñ aplikacji wi-

daæ na przyk³adzie zmiany warstw modelu sieci (rys. 8). Dla po-

szczególnych protoko³ów i aplikacji s¹ zauwa¿alne dwa

podstawowe kierunki:

M rozbudowanie (wzbogacenie) tego, co jest – potraktowanie

bezpieczeñstwa jako opcji,

5) Por. rys. 7 – IDS wykorzystuj¹cy WAN sieæ ( WAN based ) oparty na sie-

ci rozleg³ej

PRZEGLĄD TELEKOMUNIKACYJNY ! ROCZNIK LXXIV ! nr 5–6/2001

371

Bezpieczenstwo w sieciach tcp-ip - Piort Kijewski, Krzysztof Szczypiorski.pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: