Üzletmenet biztonsága az Interneten



Hasonló dokumentumok
ERserver. iseries. Szolgáltatási minőség

Fábián Zoltán Hálózatok elmélet

Közigazgatási szerződés

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

Adathálózati (Internet) szolgáltatás Általános Szerzıdési Feltételek (v1.2) Érvényes : tól. Tartalomjegyzék

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package

Bevezetés. Adatvédelmi célok

SyscoNet Kereskedelmi és Szolgáltató Kft.

Hálózatkezelés: Távoli elérés szolgáltatások - PPP kapcsolatok

(Nem jogalkotási aktusok) RENDELETEK

Kkv problémák: eltér hangsúlyok

RÉSZLETES ADATVÉDELMI TÁJÉKOZTATÓ JOGSZABÁLY KIVONAT évi CXII. törvény. az információs önrendelkezési jogról és az információszabadságról

Dr. Saxné Dr. Andor Ágnes Márta. Immateriális javak a számviteli gyakorlatban

Behatolás detektálás. Behatolás megel!zés. IDS rendszerek. Detektálás Eltérítés Elhárítás. (ellenlépések) Megel!z! csapás Küls! megel!

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

Javaslat: AZ EURÓPAI PARLAMENT ÉS A TANÁCS..././EU RENDELETE AZ IDEGENFORGALOMRA VONATKOZÓ EURÓPAI STATISZTIKÁKRÓL. (EGT-vonatkozású szöveg)

2008 IV. 22. Internetes alkalmazások forgalmának mérése és osztályozása. Április 22.

A hierarchikus adatbázis struktúra jellemzői

Szoftver újrafelhasználás

OTDK-DOLGOZAT

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

HÁLÓZATBIZTONSÁG III. rész

Vezeték nélküli, elosztott rendszerű jelzőlámpás forgalomirányítás

Teljes körű weboldal, API és DDoS védelmi szolgáltatás

TERMÉKTÁJÉKOZTATÓ A CIB BANK ZRT. POS SZOLGÁLTATÁSÁRÓL HATÁLYOS: MÁRCIUS 15-TŐL

IP alapú távközlés. Virtuális magánhálózatok (VPN)

I: Az értékteremtés lehetőségei a vállalaton belüli megközelítésben és piaci szempontokból

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András Marketingtorta - 4 1

Új generációs informatikai és kommunikációs megoldások ANMS. távközlési hálózatok informatikai hálózatok kutatás és fejlesztés gazdaságos üzemeltetés

Szoftver-technológia II. Szoftver újrafelhasználás. (Software reuse) Irodalom

IBM i. Szerviz és támogatás 7.1

IV. Szakmai szolgáltatások funkcionális tervezése

3/2002. (II. 8.) SzCsM-EüM együttes rendelet. a munkahelyek munkavédelmi követelményeinek minimális szintjéről. A munkáltató általános kötelezettségei

Integrált ügyviteli rendszer: Kettős könyvelés modul

Csengele Községi Önkormányzat házipénztári pénzkezelési szabályzata

XXII/7-14/2014.(11.18.) számú JEGYZŐI-POLGÁRMESTERI EGYÜTTES UTASÍTÁS

OECD. Középfokú iskolák. nemzetközi vizsgálat. A válaszadás önkéntes! Település neve:... Budapesten kerület: Kérdező aláírása:...

Szolnoki Főiskola Szolnok

LAY S HUNGARY RAJONGÓI OLDALON SZERVEZETT JÁTÉKOK ÁLTALÁNOS RÉSZVÉTELI ÉS JÁTÉKSZABÁLYZATA

Cloud Computing a gyakorlatban. Szabó Gyula (GDF) Benczúr András (ELTE) Molnár Bálint (ELTE)

Számítógép kártevők. Számítógép vírusok (szűkebb értelemben) Nem rezidens vírusok. Informatika alapjai-13 Számítógép kártevők 1/6

Nemzeti Adó- és Vámhivatal által kiadott. 4.../2013. tájékoztatás

SZÜKSÉGLETFELMÉRÉS SZOLGÁLTATÁSTERVEZÉS MÓDSZERTANI AJÁNLÁS

Fejlesztés, működtetés, felügyelet Hatékony infrastruktúra IBM szoftverekkel

Bevezetés. A protokollok összehasonlítása. Célpontválasztás

FAVIS Group ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK

Biztonság. Felhasználói útmutató

IT biztonság 2016/2017 tanév

1995L0057 HU

Penta Unió Zrt. Az Áfa tükrében a zárt illetve nyílt végű lízing. Név:Palkó Ildikó Szak: forgalmi adó szakirámy Konzulens: Bartha Katalin

Hegyi Béla, technikai tanácsadó. Cisco MARS Bemutatása

Dr. Gyulai László* NÉHÁNY SIKERES TECHNIKA A NAGYVÁLLALATI PÉNZÜGYI TERVEZÉSBEN

Etikai Kódex. Bevezetés Az Intézet Etikai Kódexének célja, hogy el segítse a bels ellen ri szakmában az etikai kultúra kialakulását.

Adatvédelmi és Adatbiztonsági Szabályzat módosításokkal egységes szerkezetben február 21.

I.7.1. Általános taktikai ajánlások I Az intézkedés során alkalmazandó alapelvek I Az intézkedések szakaszai I

Javaslat A TANÁCS RENDELETE. a jövedéki adók területén való közigazgatási együttműködésről

SZENT ISTVÁN EGYETEM

Nem kötelező érvényű útmutató a magasban végzett munkáról szóló 2001/45/EK (irányelv végrehajtásának helyes gyakorlatáról)

Oracle Audit Vault and Database Firewall. Gecseg Gyula Oracle DBA

Általános Szerződési Feltételek

FESD Feuerschutz für System- und Datenschränke GmbH OFS. Az innovatív Objektumoltó berendezés a rendszerszekrények tűzvédelmére

A teljesítményértékelés és minősítés a közigazgatási szervek vezetésében

INFORMATIKA Helyi tantárgyi tanterv

Informatikai biztonság a kezdetektől napjainkig

SSL VPN KAPCSOLAT TELEPÍTÉSI ÚTMUTATÓ

Adóigazgatási szakügyintéző

Végleges iránymutatások

Nemzeti Közszolgálati Egyetem. Informatikai és kommunikációs hálózat használatának és üzemeltetésének szabályai

ÉRETTSÉGI TÉTELCÍMEK 2018 Informatika

A MEDIAREY HUNGARY SERVICES KFT. ELŐFIZETÉSI ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK 1. SZÁMÚ MELLÉKLETE

A BIZOTTSÁG JELENTÉSE AZ EURÓPAI PARLAMENTNEK ÉS A TANÁCSNAK

Általános Szerződési Feltételek

INTERNETES HIRDETMÉNY Portfolio Online Tőzsde, Portfolio Online Tőzsde Pro, Portfolio Online Tőzsde mobil és táblagép applikáció

SZOLNOKI FŐISKOLA Ú T M U T A T Ó

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

Smart Strategic Planner

Delikát Gyűjtsön Osztálykirándulásra! Játék Részvételi- és Játékszabályzata

Gyarmati Dezső Sport Általános Iskola. Informatika HELYI TANTERV 6-8. ÉVFOLYAM. KÉSZÍTETTE: Oroszné Farkas Judit Dudásné Simon Edit

Nyomonkövethetőség a szerializálás során

A Compliance Data Systems Kft ös adatszivárgási felmérésének eredménye

Általános Szerződési Feltételek

Szállítási és Vásárlási Feltételek ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK

I. A légfékrendszer időszakos vizsgálatához alkalmazható mérő-adatgyűjtő berendezés műszaki

Fizetési Kártya Elfogadói Kézikönyv

E-Learning alkalmazás szolgáltatás: a bárhonnan és azonnal elérhet tudás. Main

ÁLTALANOS SZERZŐDÉSI FELTÉTELEK

Energiaipar: a jég hátán is megél?

Kosztyán Zsolt Tibor Katona Attila Imre

Ingrid Signo Felhasználói kézikönyv. Pénztári használatra

Technológia az adatszivárgás ellen

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK

(Nem jogalkotási aktusok) RENDELETEK

NARACOM INFORMATIKAI KFT. ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEI INTERNET HOZZÁFÉRÉSI SZOLGÁLTATÁS IGÉNYBEVÉTELÉHEZ

Mivel Magyarország Kormánya támogatja a FATCA alapjául szolgáló szabályozási célt, az adóügyi megfelelés fejlesztését;

I.7.3. Az egyen vagy formaruhával kapcsolatos tilalmak I.7.4. Az ellátási kötelezettség I.8. Az intézkedések taktikai ajánlásai...

Adatkezelési tájékoztató

I Az intézkedések szakaszai I Az intézkedés megkezdésének és lefolytatásának taktikája I Az intézkedő állás,

Hungária Informatikai Kft.

A nemzetközi vándorlás hatása a magyarországi népesség számának alakulására között 1

Számítógép kezelői - használói SZABÁLYZAT

Átírás:

Tudományos Diákköri Kutatások Üzletmenet biztonsága az Interneten VENESZ BÉLA Széchenyi István Egyetem Informatikai és Villamosmérnöki Intézet venesz@free-mail.hu Konzulens: dr. Raffai Mária ABSTRACT The aim of the article is to show a special IT security technique that is not mentioned in neither Hungarian nor foreign manufacturer-independent literature. One of the reasons might be that it is very new and immature. Mellowness can appear only in the opinions of experts, so the technique, mentioned in the article, will play important role especially in the security-policy of banks, corporations specialized in finance, governments and R&D companies. So it is worth to learn other techniques apart from the currently applied firewall and antivirus software. A cikk egy olyan technikát mutat be, amelyet jelenleg még kevés IT-biztonsággal foglalkozó, gyártófüggetlen szakirodalom tárgyal. Ennek egyik oka talán abban található, hogy egy új, és kiforratlan technikáról van szó. Bár a biztonsággal foglalkozó szakemberek látják ennek a megoldásnak az el nyeit, és érzik az alkalmazás szükségességét, de várható, hogy a közeljöv ben els sorban bankok, pénzintézetek, K+F tevékenységet folytató cégek, illetve kormányzatok informatikai biztonságpolitikájában is komoly szerepet fog betölteni. Érdemes tehát a jelenleg alkalmazott t zfalak és víruskeres szoftverek mellett ezt az új technikát is megismerni. Változások az IT területén Az utóbbi 15 évben meglehet sen nagy változás történt, az egymástól elszigetelt munkahelyek a számítógéphálózatok és az Internet által összeköthet vé váltak, lehet vé téve ezzel a közvetlen kommunikációt és a csoportmunkát. Az Internet általános elérhet sége és használatának korlátlan lehet sége a legtöbb kereskedelemi vagy banki-pénzügyi tevékenységet folytató cég számára az alkalmazás/használat elengedhetetlen kényszer ségével jár, de komoly problémát jelent, hogy er s, lényegbeli eltérés figyelhet meg az infrastruktúra 6 és a kínált szolgáltatások között. Külön gondot okoz, hogy az Interneten elérhet szoftverek, utility-k gyorsan és különösebb nehézség nélkül tölthet k le. A letöltés alatt álló szoftverek telepítésekor vagy kés bb a használat során egy olyan számítógépes környezet jön létre, amely fogékony a kívülr l indított támadások (a használt közeg többnyire az Internet) iránt, és kevés védelmet nyújt a nemkívánatos tevékenységek, vagy akár a bels munkatársak ellen (márpedig ez utóbbiak jelentik a visszaélések csaknem 80%-át). A fenti folyamat egyre veszélyesebbé váló támadási formákat eredményez. A crackerek egyre növekv száma mellett az informatikai rendszerek ellen indított támadások is mind eredményesebbé válnak. A crackerek nemcsak a kereskedelmi alkalmazásokat, a PC-ket vagy a Java-megoldásokat támadják, hanem nyilvánosságra hozzák a támadható rendszerek gyengeségeit is, illetve az információkat jól szervezett Usenet és Mailing listákon, valamint különböz site-okon osztják meg. Egyre növekv 6 Ez esetben a TCP/IP v4 protokoll alapú hálózatra gondolok, amelyet a biztonsági aspektusok figyelembe vétele nélkül fejlesztettek ki. 52 GIKOF Journal 2. évf. 3. szám

Tudományos Diákköri Kutatások növekv exponenciális trend tapasztalható azoknak a szoftvereknek a terjedésében, amelyek a támadásokat automatikusan hajtják végre, így kevésbé tapasztalt crackerek is néhány perc alatt képesek olyan programokat, scripteket letölteni, amelyek támadási eszközként használhatók fel. Azon vállalatoknál (többnyire bankok és K+F tevékenységet folytató cégek, kormányzatok), ahol a munkafolyamatok IT- és id érzékenyek (szoftverérzékeny rendszerek), ahol egy, a biztonságot veszélyeztet esemény hatása komoly károkkal járhat (például anyagi veszteség, jó hír elvesztése, hitelesség elvesztése, kínos helyzet fellépése, bizalmas, illetve stratégiai információk kisz r dése, m ködési képesség elvesztése, a törvény megszegése stb.), ott jogosan merül fel a kérdés, hogy vannak-e a hagyományos védekezési mechanizmusok (víruskeresés, t zfal) mellett a káros behatások elleni hatékony megoldások. Védelmi megoldások A védekezést alapvet en két különböz szinten lehet megvalósítani [4]: Egyrészt a víruskeres programok segítségével, amelynek feladata, hogy ellen rizze az éppen végrehajtásra el készített állomány integritását, azaz az adott állomány eredeti állapotában van-e, és nem került bele olyan végrehajtható rész, amely a víruskeres adatbázisa szerint vírusra utaló jeleket tartalmaz. A tapasztalatok szerint a támadásoknak ezzel csak egy része detektálható, és az is csak utólag, amikor az ellen rzést végrehajtjuk. Azokat a támadásokat viszont, amelyek nem sértik az állományok integritását (például azok amelyek a jogosultsági rendszert módosítják) ezzel a módszerrel nem lehet kisz rni. A t zfalak csak bizonyos kapcsolatfajták sz résére alkalmasak, ugyanakkor az általuk engedélyezett forgalmat nem tudják további vizsgálatnak alávetni. A fentiek alapján a hiányzó láncszem a betörésdetektáló eszközök (IDS: Intrusion Detection System) alkalmazása, amelyeknek célja, hogy felismerje a bizalmasság és/vagy rendelkezésre állás és/vagy az integritás megsértésére irányuló próbálkozásokat, azokat jelentse a biztonságért felel s személynek, illetve a megfelel ellenintézkedéseket végz komponensnek (IRS: Intrusion Response System). A következ kben ez utóbbi megoldást mutatom be. Az IDS architektúra és m ködés Az IDS-rendszert alapvet en négy összetev alkotja: adatgy jt komponens (hálózati vagy hoszt alapú) adatbank-komponens menedzsmentállomás kiértékel komponens (analizátor) Adatgy jt komponens Az adatgy jt komponens (továbbiakban szenzor) általános, kvantitatív jelleg információkat gy jt a rendszer állapotáról. Mivel ezek az adatok nem számszer síthet k, ezért nagyon nehéz feladat a megfelel ket összegy jteni. A kiértékelési folyamatot ugyanis nemcsak a túlzottan sok naplózott adatmennyiség nehezíti meg, hanem a szükségesnél kevesebb is. A legjobb kiértékel komponens is hatástalan, ha nem áll rendelkezésre elegend és megfelel mennyiség adat. A releváns auditadatok forrásai a támadás detektálási helyét l függ en alapvet en kétfélék lehetnek. A hálózat alapú (network based) adatgy jt szenzor feladata, hogy összegy jtse és a kiértékel komponens segítségével ellen rizze az adott számítógép vagy egy hálózati szegmens forgalmi adatait. A gyakorlatban minden szenzorhoz egy dedikált, komoly er forrásokkal rendelkez számítógépet kell alkalmazni, miközben biztosítani kell azt, hogy m ködése más alkalmazásokat ne zavarjon. Ha szegmensenként egy szenzort alkalmaznánk, akkor a mai hálózatokban, ahol egy szegmensben csak egy hoszt helyezkedik el, nagyon megdrágulna az eszköz alkalmazása. GIKOF Journal 2. évf. 3. szám 53

Tudományos Diákköri Kutatások A megoldás alkalmazása el nyökkel és hátrányokkal jár. El nyök: A hálózaton elhelyezett szenzor a szerver és munkaállomás er forrásait nem használja. A támadás már akkor detektálható, miel tt az elérné célját, így az IRS révén megfelel id ben való automatikus beavatkozásra van lehet ség. A szenzorok úgy konfigurálhatók, hogy azok észrevehetetlenek maradnak a támadó részér l, IP-cím híján pedig címezni sem tudja ket. Hátrányok: Sok, ma rendelkezésre álló szenzor nem képes nagysebesség hálózatok (100 Mbps) esetén az adatforgalmat kielégít en átvizsgálni. Osztott rendszerek vagy redundáns kihelyezett hálózat esetén a szenzor csak egy szegmens (illetve hoszt) forgalmát látja. A titkosított adatforgalmat (például SSL, IPsec használata esetén) nem tudja ellen rzés alá vetni. Korlátozottan képes az észrevett támadás céljának meghatározására. A támadás felismerése nem egzakt és nem hibátlan. A hoszt alapú (hoszt based) szenzor a védend hoszton kerül telepítésre. Feladata többrét : operációs rendszer-felügyelet, alkalmazásfelügyelet, integritásvédelem és hosztspecifikus adatforgalom-ellen rzés. Az operációs rendszer védelme alkalmazásszinten történik. A vizsgálat kétféleképpen hajtható végre: egyrészt a logolási (naplózási) rendszeren keresztül (induláskor megfelel en konfigurálni kell, majd a logok tartalmát kell vizsgálni és észrevenni az eredeti beállításoktól eltér eseményeket), másrészt speciális IDS Plugin szoftverek segítségével. Alkalmazásfelügyeletet biztosító szenzor használata akkor javasolt, ha egy speciális applikációnak a védelme sem operációs rendszer, sem pedig hálózatfelügyeleti szenzorok segítségével nem garantálható. Az ellen rzés általában az alkalmazás logadatainak kiértékelése útján történik. Integritás-ellen rzés során az IDS gyakori id közönként (adott esetben minden adathozzáféréskor) ellen rzi, hogy az adattár (adatok, program) módosulása (ez esetben nem tartalmi ellen rzésr l van szó) elfogadható-e. Ez jellegzetesen az ellen rz összeg egy el re definiált értékkel való összehasonlítása útján történik. Konkrétan felismert, nem megengedett változtatásnál ideális esetben az IDS az adatotokat viszszaállítja az eredeti állapotukba. Ez azonban az integritás megsértése, a túl gyakori ellen rzés vagy a processzorfolyamat feldolgozási szabálya miatt (multiprogramozott batch üzemmód) nagyon kritikus, és gyakran nem történhet meg valós id ben. A túlzottan sok ellen rzés elviselhetetlenül megterheli a rendszert, a túlzottan ritka pedig a kockázat növekedését eredményezi. A megfelel konfiguráció megválasztása meglehet sen nehéz, és sok id t vesz igénybe. Fontos megemlíteni, hogy amíg az operációs rendszer specifikus szenzor az adatok tartalmát (logadatok) vizsgálja és megbízik azok integritásában, addig az integritásvizsgálat nem függ az adatok tartalmától. 54 GIKOF Journal 2. évf. 3. szám

Tudományos Diákköri Kutatások sensoradatok analíziseredmény Network sensor hálózati adatfolyam Internet menedzsmentkonzol T zfal Network sensor Analyzer (Network) hálózati adatfolyam Hostsensor T zfal Network sensor S W I T C H Host munkaállomások Host jelentések, riaszatás Alkalmazási sensor Webserver Host alkalmazásanalizátorok sensoradatok analíziseredmény 6-2. ábra: IDS-rendszer architektúrája és m ködése Hosztspecifikus hálózati adatforgalom ellen rzése révén lehet ség nyílik a hálózaton egyébként titkosított adatforgalom dekódolására, és valamennyi, a hoszt kommunikációját végz IP-stackbe történ beépülésére. Mivel a hosztnak címzett csomagok száma aránylag csekély, ezért lehet ség van a teljes adatforgalom kimerít átvizsgálására. A megoldás hátrányaként meg kell említeni, hogy az ilyen rendszerek nem tudják felismerni az elosztott, egyid ben több célhosztot érint támadásokat. A piacon jelenleg kapható IDS-termékek nem nyújtanak megoldást erre a problémára. Az általános jellemz k az alábbiak szerint foglalhatóak össze: Képes azonnal megfigyelni és kiértékelni a védett hoszton m köd rendszer reakcióját (ellentétben a hálózat alapúval). Minden ellen rizni kívánt hosztra telepíteni kell. A hoszt alapú szenzornak alkalmazás- és operációs rendszer-specifikusnak kell lennie, ellentétben a hálózat alapúval, ezért valamenynyi védend platformra rendelkezésre kell állnia, és egymáshoz igazítva kell m ködnie. A hoszt alapú IDS bevezetése általában magasabb költségekkel jár, mint a tisztán hálózat alapú. Nem tud észrevétlenül m ködni (ellentétben a hálózat alapúval). A támadónak lehet sége van egyidej leg a védett rendszert és a hosztszenzort, ezáltal az IDS-t támadni. A védett rendszer er forrásait használja, alulméretezett rendszer esetén ez problémát jelenthet. Adatbank-komponens Az adatbank-komponensben minden, az eszköz által ismert támadási módszer jellemz i leírásra kerülnek. Az IDS feladata, hogy az éppen vizsgált aktivitást összehasonlítsa az adatbázisbeli összes mintával, és ha valahol egyez séget talál, azt jelezze. A megoldás egyszer, azonban a megvalósítás során számos probléma merül fel. Minél nagyobb biztonságra akarunk törekedni, annál több elemet kell elhelyeznünk a minta-adatbázisban, ami azt jelenti, hogy az éppen vizsgált aktivitást egyre több elemszámmal kell összehasonlítani, ráadásul valós id ben. A probléma két úton oldható meg: vagy az er források növelésével, vagy a minta-adatbázisbeli elemszám csökkentésével. Míg az els megoldás tri- GIKOF Journal 2. évf. 3. szám 55

Tudományos Diákköri Kutatások viális lehet, addig az elemszám csökkentése látszólag csökkenti a védelem er sségét. Ha azonban az adatbázisban elhelyezett minták a rendszer sérülékeny pontjaira vannak kihegyezve és nem az összes fenyeget tényez re, akkor csökkenthetjük az elemszámot, és így a rendelkezésre álló er forrásokat a potenciálisan sikeres támadások detektálására tudjuk fordítani [4]. (A fenyegetettség és a sebezhet ség megértése elengedhetetlenül fontos nemcsak az optimalizálási folyamat, hanem az informatikai biztonsági stratégia kialakítása során is.) Menedzsmentkomponens A menedzsmentkomponens lehet vé teszi az IDS konfigurálását és beállítását. Mindez a következ feladatokat foglalja magába. IDS-komponensek felvétele (szenzor, adatbank, menedzsmentállomás) IDS-komponensek közötti kommunikációhoz szükséges paraméterek beállítása (IP-cím, titkosítási kulcs, életjel-intervallum) az ellen rizend objektumok felvétele (hálózat, hoszt) ellen rzési szabályok (IDS Policies) el állítása, testreszabása és csoportosítása. IDS-szenzorok csoportosítása ellen rzési feladatok kiosztása az egyes szenzorok, illetve csoportok között. A gyakorlatban a menedzsmentállomás és a kiértékel egység egy komponensként kerül megvalósításra. Kiértékel komponens A tényleges felismerési folyamat a kiértékel komponensben történik, amelynek további feladatai is vannak, így az események osztályozása, reakció- és riasztásküldés, tüzetes jelentés el állítása, valamint a kiértékelt adatok tárolása kés bbi feldolgozás céljából. Az egység feladata az is, hogy a létrehozott eredményeket figyelembe véve a felhasználó személyiségi jogait megjelenítse, és a helyes kommunikációs utat megválasztva (e-mail, SMS stb.) közölje azt a biztonsági megbízottal és az IRS-sel. Felismerési eljárások A piacon ma fellelhet termékek alapvet en az alábbi támadás-felismerési technikákat használják: minta alapú betörésdetektálás és anomáliaérzékelés, A cikk eddigi részében külön jelzés nélkül a minta alapú betörésdetektálási módszer került ismertetésre, ezért itt külön nem ejtek szót róla (lásd 6-3. ábra). Minta alapú felismerés Mintaillesztés Mintaadatbázis A vizsgált adatforrás Riasztásküldés, jelentéskészítés GUI Anomáliaérzékelés Felhasználói profil kialakítása Eltérésfelismerés 6-3. ábra: A minta alapú támadásfelismerés és az anomáliaérzékelés általános modellje Anomáliaérzékelés A támadás felismerése azon az elgondoláson nyugszik, hogy a támadás egy tipikus rendszerviselkedést okoz, amelyen keresztül az felismerhet. Ezért mindenekel tt fontos, hogy meghatá- 56 GIKOF Journal 2. évf. 3. szám

Tudományos Diákköri Kutatások rozzuk a védend rendszernek a normális körülmények közötti viselkedését. Erre azért van szükség, hogy meg lehessen állapítani a szituációtól eltér viselkedést (anomália). Alapvet en három technika alkalmazása lehetséges: protokollvizsgálat, statisztikai adatok elemzése és mesterséges intelligencia alkalmazása. Protokollvizsgálat A megoldás feladata a hálózati forgalomanomália felismerése. A normál rendszerviselkedés meghatározása protokolldefiníció alapján történik, ezután már csak azt kell vizsgálni, hogy a hálózati forgalom megfelel-e az alapul vett protokollspecifikációnak. Az eljárással nagy megbízhatóságot lehet elérni, mivel nincs szükség nagy számú jelzésmintának egy külön egységet képez adatbankban történ elhelyezésére. Hátrány, hogy azok a támadások, amelyek ismeretlen vagy hibás protokollspecifikáción nyugszanak, nem felismerhet ek. Felismerés statisztikai adatokkal A támadásfelismerés ezen módja abból indul ki, hogy támadás esetén a rendszerviselkedés szignifikánsan eltér a statisztikai úton meghatározottól. Ahhoz, hogy a rendszer normális viselkedését meg lehessen határozni, különböz objektumokat (felhasználó, háttértár, alkalmazások stb.) és a hozzátartozó viselkedési szokásokat (a hibás bejelentkezések száma, bejelentkezés napszakja, bejelentkezési gyakoriság, használat id tartama stb.) kifejez statisztikai érték megállapítása szükséges. Az értékek alapján az IDS meg tudja állapítani, hogy az aktuális aktivitás szignifikánsan eltér-e a normálistól. A megoldás el nye, hogy lehet ség nyílik a hamis felhasználói account-tal véghezvitt támadás felismerésére, anélkül hogy a támadó a szerzett felhasználói jogaival visszaélne. Hátrányként említhet, egyrészt, hogy a paraméterbeállítások megválasztása az egész rendszer viselkedését l függ, ezért meglehet sen kritikus elem, másrészt pedig az eljárás nagy intuíciót kíván, hiszen sem a normális m ködés, sem pedig a felismerni kívánt támadás nem specifikus. Például nem lehet azt megállapítani, hogy a statisztikai adatok által megállapított normálértékek nem rejtenek-e magukban olyan, támadó viselkedésre utaló jeleket, amelyek kés bb a normális viselkedés részeként kerülnek megállapításra. Mesterséges intelligencia alkalmazása A mesterséges intelligencia gépi eljárást biztosít a manuális vizsgálathoz szükséges intuíciók kompenzálására. A cél a feldolgozás sebességének fokozása, mégis a magas hibaráta miatt manuális utómunka szükséges. Az eljárás még nem kiforrott, így pillanatnyilag egyik IDS-gyártó sem kínálja. A rendszerek hatásfoka A piacon kapható IDS-rendszerek szinte mindegyike minta alapú betörésdetektáló eszközként funkcionál. A rendszer által nyújtott védelem els sorban a mintadatabázisbeli elemek naprakészségét l függ, azaz attól a jellemz t l, hogy az adatbázisban milyen teljességgel találhatók meg a lehetséges támadási módok. Ezért alapvet en fontos, hogy a gyártói háttérapparátus mennyire folyamatosan követi a napvilágra kerül új támadási formákat, és hogy azokat milyen gyorsasággal juttatja el a felhasználónak. Az anomáliaérzékel rendszerek jelenleg kutatási fázisban vannak. A megoldás hatásfokát az befolyásolja, hogy nem lehet egyértelm en megállapítani azt a normális viselkedést, amelyhez a rendszer az éppen aktuális aktivitást viszonyítja. Például, ha a felhasználói profilban a rendszerbe való belépés ideje reggel nyolc és kilenc óra id intervallumra van beállítva, akkor az ett l eltér (például reggeli hét óra) bejelentkezést az IDS támadó magtartásnak értékeli, még akkor is, ha csak egy szorgalmas dolgozóról van szó. GIKOF Journal 2. évf. 3. szám 57

Tudományos Diákköri Kutatások A minta alapú és az anomálisérzékel technikák összehasonlító kompetenciáit a 6-4. ábra szemlélteti. becsülhet ek, addig elég nehéz feladat a trainingphase költségek becslése anomáliaérzékelés alkalmazása esetében, különösen akkor, ha az instabil környezet mellékköltségeket okoz (lásd 6-5. ábra). nem normális normális hibás riasztás eltérés-érzékelés támadásérzékelés (anomáliaérzékelés) ráfordítás (felismerés) anomáliaérzékelés tevékenység biztonságkonform nem biztonságkonform minta alapú technika 6-4. ábra: A két technika kompetenciája IRS automatikus reakció Mihelyt a támadó elér egy számítógéprendszert vagy annak egy részét az elérés keretei között tetsz leges károkat okozhat. Az IRS feladata els sorban a támadó azonosítása (IP-címének meghatározása), és csak másodsorban a támadási magatartással dimetrális viselkedés tanúsítása, azaz a további károktól való védelem. Ez például az alábbi tevékenységsorozatot jelentheti: az érintett TCP/UDP port leválasztása, a programok és szolgáltatások terminációja, azon IP-datagrammok visszautasítása, amelyek a támadó IP-címével érkeznek, adott esetben a felhasználói account zárolása, ha a támadás a bels hálózatról érkezik, valamint a keletkezett károk megszüntetése, például a biztonsági másolatok felhasználásával. A rendszer bevezetési költségei Mint ahogy sok, ma kapható biztonsági eszköznél, úgy az IDS-rendszereknél is nehéz megbecsülni a ráfordítási és az üzemeltetési költségeket. Bár az inicializálási költségek (termékvásárlás és installáció) a beszerzési ár alapján meglehet sen jól a támadás hatásfoka 6-5. ábra: Különbségek a ráfordításban, az egyes technikákat tekintve Egy biztonságos rendszer érdekében felmerült költségek a következ faktoroktól függnek: Mennyibe kerül a szakvélemény? Milyen eszközök állnak rendelkezésre a minták modellezéséhez? Mennyire ügyesek és hatásosak a kezelend támadások? Mely operációs rendszerek érintettek? Milyen alkalmazásokat használnak az adott rendszeren? Sok programot ismerünk ugyanis immanens biztonsági gyengeséggel. Milyen információforrásokat kell megvizsgálni az új támadások felderítése céljából? Egyes mail-listák (mint például az NTSEC Windows NT Security) sok redundáns és lényegtelen információt tartalmaznak. Mennyire megbízhatóak a rendelkezésre álló információk? Egyes listák moderáltak (például a bugtraq), ezáltal az el fizet többnyire releváns információhoz jut. 58 GIKOF Journal 2. évf. 3. szám

Tudományos Diákköri Kutatások Következtetések Az IDS-technikát magában hordozó kereskedelmi termékek utáni igény egyre növekv tendenciát mutat. A védtelen rendszerek kiszolgáltatottságával kapcsolatos ismeretek folyamatos b vülése és a fokozott biztonságra való törekvés megköveteli az IDS-piac gyors fejl dését. Valószín nek t nik, hogy az IDS-fejleszt k a jöv ben a tervezésnél több szempontot fognak figyelembe venni, így például a többi biztonsági eszközökkel (t zfal, víruskeres, biometrikus azonosítás, titkosítási eljárások, vulnerability scanner stb.) való együttm ködési képességet, a felhasználóbarátság követelményét, az internetes alkalmazások támogatottságát és a populáris operációs rendszerek, mint a Windows támogatását. Jelenleg még számos korlátja van az elvárásoknak megfelel teljes funkcionalitású IRS-rendszerek széleskör forgalmazásának és alkalmazásának, hiszen a kapható eszközökben az IRS-funkció még csupán részfeladatként jelentkezik, és sok az ellenvetés az automatikus IRS-intézkedések bevezetése tekintetében is. Az egyik éget megoldás az IDS-szabványosítás, amelyre már vannak kezdeményezések. Ezek közül a legmeghatározóbbak az alábbiak. Common Intrusion Detection Framework Projekt (CIDF): A CIDF az amerikai DARPA által támogatott projekt, amely definiálja az egyes komponenseket (eseménykiválasztó, eseménykiértékel, adattároló és reakció), illetve az egyes komponensek közötti kommunikáció protokollját. A kiértékelend eseménnyel való szabványos kapcsolatot a Common Intruction Specification Language (CISL) határozza meg. IETF Intrusion Detection Working Group (IDWG) Az IDWG révén kifejlesztett Intrusion Detection Exchange Format (IDEF) a támadási minták formátumát definiálja. 2000. 06. 05-én hozták nyilvánosságra Internet Draft néven. Common Content Inspection (CCI) API, OPSEC (Check Point) A CCI API egy szabványos portot határoz meg, amelyen keresztül a vizsgálatot igényl gyanús aktivitások a kiértékel állomásba továbbíthatók. Az OPSEC (www.opsec.com) egy sor API-t és protokollt definiál, amelyek lehet vé teszik a releváns adatok rendszerek közötti cseréjét. Kérdés, hogy amely gyártók építik termékükbe a megoldásokat. Common Vulnerabilities and Exposures (CVE) A CVE (cve.mitre.org) célja az összes támadásminta és sebezhet ség egységes névvel és számmal való ellátása. ISO Technical Support Az ISO/IEC elkészített egy technikai összefoglalót Intrusion Detection témában, amely áttekintést nyújt az alkalmazásában. A CIDF csak a szerkezetet határozza meg, az IDEF kizárólag a támadási formák szabványos leírását, a CVE pedig egyedül a szabványos megnevezéssel foglalkozik. A CIDF és IDEF a jelenleg kapható és a gyártók által támogatott termékben nem kerültek megvalósításra, a CVE számozást viszont szinte mindegyik produktum figyelembe veszi. Hivatkozások [1] Benjamin H.: Intrusion Detection System in Firewalls Uni.Hamburg, 2002. [2] Das Erkennen von Angriffen auf Rechner und Rechnernetze BSI, 2002. [3] Einführung von Intrusion Detection System ConSecur Gmbh, 2002. [4] K rös Zsolt.: Betörésdetektáló eszközök, Az informatikai biztonság kézikönyve Verlag Dashöfer, 2002. [5] Paul E. P.: The Practical Intrusion Detection Handbook Prentice Hall, 2001. [6] Roland B.: Transaction-based Anomaly Detection USENIX, 1999. [7] Stephen N.: Network Intrusion Detection New Riders, 2000. [8] Venesz B.: Támadásérzékelés és kezelés hálózatos környezetben SZE-TMDK dolgozat, 2002. GIKOF Journal 2. évf. 3. szám 59

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés