IT biztonság 2016/2017 tanév

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "IT biztonság 2016/2017 tanév"

Csenge Török
6 évvel ezelőtt
Látták:

1 IT biztonság 2016/2017 tanév ELTE IT Biztonság Speci 1

2 BEHATOLÁS VÉDELEM ELTE IT Biztonság Speci 2

3 Intrusion (Behatolás) Valaki megpróbál betörni, vagy visszaélni a meglevő jogaival Bármilyen tevékenység, amellyel a CIAhoz kapcsolódó visszaélés történik Confidentiality - Bizalmasság Integrity - Sértetlenség Availability Rendelkezésre állás 20/10/16 ELTE IT Biztonság Speci 3

4 Intruders (Behatolók) Külsősök Minden olyan személy vagy program, amely nem kapott engedélyt a hálózatunkon bármilyen rendszer és/vagy adat hozzáféréshez Belsősök Legálisan hozzáfér a hálózathoz és az alkalmazásokhoz/adatokhoz, de nem jogosult felhasználás a célja 20/10/16 ELTE IT Biztonság Speci 4

5 Hogyan jutnak be? Fizikai betörés Rendszer betörés Távoli betörés 20/10/16 ELTE IT Biztonság Speci 5

6 Fogalmak "An intrusion detection system (IDS) is a device or software application that monitors network or system activities for malicious activities or policy violations and produces reports to a Management Station." ELTE IT Biztonság Speci 6

7 Fogalmak "Some systems may attempt to stop an intrusion attempt but this is neither required nor expected of a monitoring system. Intrusion detection and prevention systems (IDPS) are primarily focused on identifying possible incidents, logging information about them, and reporting attempts. In addition, organizations use IDPSes for other purposes, such as identifying problems with security policies, documenting existing threats and deterring individuals from violating security policies. IDPSes have become a necessary addition to the security infrastructure of nearly every organization." ELTE IT Biztonság Speci 7

8 IDPS architektúra Minden IDPS-ben van Szenzor adat begyűjtés (hálózati, felhasználói) Analítika adatelemzés, jellemzően a menedzsment is Adminisztrátori interfész Üzemeltetés, jellemzően az analítikai is Az utolsó kettő két jogosultsági szint! 20/10/16 ELTE IT Biztonság Speci 8

9 Történelem 1972 US Air Force tanulmány Log analítika helyett hálózati analítíka Első kereskedelmi megoldás 90-es évek Felderítés + megakadályozás 90-es évek vége (IPS) 20/10/16 ELTE IT Biztonság Speci 9

10 Félreértések Van vírusírtóm, megtalálja a trójai falovat is! Van tűzfalam, az elég! Csak jelszóval lehet belépni a rendszerbe! 20/10/16 ELTE IT Biztonság Speci 10

11 IDS/IPS elvárások Rendszeres definíció (pattern) frissítés Automatikusan is Tudatosság Egy technikailag/technológiailag képzett személy (csapat) Riasztások, riportok 20/10/16 ELTE IT Biztonság Speci 11

12 Mi NEM IDS/IPS? Antivírus Biztonsági scannerek Nessus Log management Security/authentikációs rendszerek Tűzfalak, DLP rendszerek Nos 20/10/16 ELTE IT Biztonság Speci 12

13 Támadások menete Külső felderítés Belső felderítés Legális feltérképezés (pl. ) Social Engineering Betörés Jogosultság emelés További rendszerek feltörése Fun and Profit ELTE IT Biztonság Speci 13

14 IDS mint igény Csomagszűrő tűzfalak IP/Port-on túl nincs információ A támadás szabályos Proxy szinten is! Igény van a gyors és hatékony betekintésre 20/10/16 ELTE IT Biztonság Speci 14

15 Hol helyezhetjük el? Internet tűzfal előtt Tűzfalak mögött Gerinc vonalakon Kritikus zónák ki és belépési pontjai 20/10/16 ELTE IT Biztonság Speci 15

16 Architektúra 20/10/16 ELTE IT Biztonság Speci 16

17 Az IDS karakterisztikái Találja meg az összes biztonsági eseményt Képes legyen gyorsan jelezni ezeket Emberi beavatkozás nélkül Ne dőljön össze Védje meg saját magát Management hálózat Kis erőforrás igény Normál minták ELTE IT Biztonság Speci 17

18 Motor Az agy az IDS mögött Felismeri a támadó tevékenységeit Felismerés után Riaszt (és/vagy) Beavatkozik ELTE IT Biztonság Speci 18

19 IDS típusok Hogyan? Szabály alapú Anomália alapú Hol? Host IDS HIDS Network IDS NIDS Tap/Span In-line Wireless IDS ELTE IT Biztonság Speci 19

20 Szabály alapú IDS Előre definiált szabályok Gyártói támogatás Felhasználók saját szabályai ELTE IT Biztonság Speci 20

21 Anomália alapú IDS Normál viselkedés feltérképezése Mi a normális? Heurisztika alapján Statisztika alapján Szabályok alapján A betörés eltér a normál hálózati forgalomtól ELTE IT Biztonság Speci 21

22 HIDS Adott gép működését monitorozza Hálózati forgalom Lokális erőforrások Logok vizsgálata (nincs korreláció) Ami gyanús egyik rendszerben, nem biztos hogy gyanús egy másikban Folyamatos, diverz adatbázis karbantartás ELTE IT Biztonság Speci 22

23 NIDS Hálózati forgalom monitorozás Egyszerű telepíteni TAP SPAN In-Line Kevés eszközt kell telepíteni IDS esetén jellemzően erről a megközelítésről beszélünk ELTE IT Biztonság Speci 23

24 WIDS Nincs fizikai korlát Támadásokhoz nem kell közel lenni! RF monitorozás WIDS Wireless Wireless Wireless Wired Layer 3 felett normál IDS? ELTE IT Biztonság Speci 24

25 Előnyök és hátrányok A hálózati zaj jelentősen megnehezíti a rendszera működését Ez hamis riasztásokat eredményez Túl sok riasztás -> szabály/trigger csökkentés -> a támadás bejut! Új támadásokat találhat meg Nem kifejezetten exploit jellegű támadásokat is felfedezhet Furcsa kommunikációkat is felfedez (kapcsolati adatok alapján) ELTE IT Biztonság Speci 25

26 Incidens kezelési terv 20/10/16 ELTE IT Biztonság Speci 26

27 SSL/TLS Mi a helyzet a titkosított forgalommal? ELTE IT Biztonság Speci 27

28 Jellemző IDS implementáció Csak NIDS UTM NIDS + HIDS Korreláció (közös management) ELTE IT Biztonság Speci 28

29 Honeypot/Honeynet Szándékosan gyenge rendszer Izolált környezet (!!!!!!!) Alapértelmezett/gyenge jelszavak Hibás szoftver verziók Monitorozzuk a támadásokat Kiváló 0-day exploit gyűjtésre J ELTE IT Biztonság Speci 29

30 IDPS jövőkép Komplex vagy specializált rendszerek, átfedő funkcionalitás IDPS Web Application Firewall (WAF) HIDPS DLP szenzorok HIDPS UBA rendszerek IDPS network SIEM analítika Miért nem használunk mindenhova IDPS-t? Használunk (vagyis kellene) Nem specializált 20/10/16 ELTE IT Biztonság Speci 30

31 IDPS jövőkép IoT Internet of Things Esetenként kiszorítják az egyéb technikai megoldások 20/10/16 ELTE IT Biztonság Speci 31

32 Termékek Ingyenes SNORT (SourceFire) Prelude AIDE Elterjedt nagyvállalati megoldások SourceFire McAfee IPS IBM Network Intrusion Prevention System UTM (Checkpoint, Paloalto Networks) ELTE IT Biztonság Speci 32

33 Hogyan tovább? Linux Tcpdump Wireshark SNORT Honeypot Google DE ne fogadjatok el mindent, ellenőrizzétek! Ja. Sok idő. J ELTE IT Biztonság Speci 33

34 KÖSZÖNÖM A FIGYELMET! ELTE IT Biztonság Speci 34

Hasonló dokumentumok

IT biztonság 2015/2016 tanév. ELTE IT Biztonság Speci

IT biztonság 2015/2016 tanév. ELTE IT Biztonság Speci IT biztonság 2015/2016 tanév 1 BEHATOLÁS VÉDELEM 2 Mit védünk? Confidentiality Integrity Availability Ki ellen? Tolvaj (külső vagy belső) Hackerek (külső vagy belső) 3 Fogalmak "An intrusion detection