Мониторинг в сфере ИБ: апробированные методы...

1© 2011 Cisc o and/or its affiliates. All rights reserved. Cisco Publi cBRKSEC-3061

Мониторинг в сфере ИБ: апробированные методыобнаружения инцидентов

2© 2011 Cisc o and/or its affiliates. All rights reserved. Cisco Publi c 2

Мониторинг безопасностиШесть действий для повышения качества мониторинга


Разработка

политики


1



политики

Сбор данных

о сети

Мониторинг безопасностиШесть этапов для повышения качества мониторинга

1 2



политикиВыбор

целей


о сети


1 2 3


Выбор

источниковсобытий



целей


о сети


1 2 3 4


Тестированиеи настройка

Выбор




целей


о сети


1 2 3 4 5



ЭксплуатацияВыбор




целей


о сети


1 2 3 4 5 6


Компания Blanco Wireless продает услуги мобильной связи

Собирает номера SSN абонентов для активации услуг (эти номера хранятся в СУБД)

Для работы СУБД используетсяOracle 10g

Необходимо обеспечить мониторингдля защиты данных и соблюдениянормативных требований

Выдуманный примерBlanco Wireless



политики


1


Мониторинг запрещенных событий

Необходимо определить список запрещенных действийи пытаться их обнаружить

Критерии применимости: возможность полного описания всех запрещенных действий, достаточно короткий список, невозможность сужения спектра событий до краткого списка допустимых

Мониторинг аномалий

Необходимо описать нормальное состояние и обнаруживать события,выходящие за рамки нормального состояния

Перспективно, высока вероятность ложных срабатываний.

Мониторинг соответствия политикам

Описание набора критериев, по котором оценивается допустимость или недопустимость действия и сбор данных.

Критерии применимости: контроль над средой (системами, сервисами), вероятность маскировки вредоносных воздействий

Подходы к мониторингу

Четкое описание

Средства контроляи обеспечения

соблюдения

Бонус: самопроверка

Отсутствует: описание разграничения ролей


Соблюдение требований

• Sarbanes-Oxley• HIPAA• PCI DSS• ФЗ-152

Соблюдение требований

• Sarbanes-Oxley• HIPAA• PCI DSS• ФЗ-152

Регламентирование действий сотрудников

• Посторонние устройства• Совместное использование

учетных записей• Конфигурирование устройств

Регламентирование действий сотрудников

• Посторонние устройства• Совместное использование

учетных записей• Конфигурирование устройств

Определение политикиТипы


Пример: COBIT DS9.4, контроль конфигурацийМониторинг изменений конфигураций сетевых устройств, сравнение с утвержденными списками изменений

Кто изменил

МСЭ

Кто изменил конфигурацию МСЭ?


Политика: запрет входа с высоким уровнем прав

Мониторинг журналов IDS и подключений SSH, поиск входа пользователя root

Политика: надежность паролей

Определение требований, также инструментальный аудит существующих учетных записей (cisco/cisco)

Политики: запрет интернет-доступа с рабочих серверов

Мониторинг подключений серверов к Интернету

Политика: запрет туннелирования протоколов

Мониторинг тревог IDS, связанных с туннелированиемтрафика по DNS (взаимодействие с не-DNS серверами)

Разработка политикиДополнительные примеры


Пример: вход на FTP-сервер с высоким уровнем прав

evIdsAlert: eventId="1173129985693574851" severity="low" vendor="Cisco"originator:

hostId: rcdn4-dmz-nms-1appName: sensorAppappInstanceId: 421

time: Mar 22 2007 18:14:39 EDT (1174601679880242000) offset="0" timeZone="UTC"signature: version="S31" description="Ftp Priviledged Login" id="3171"

subsigId: 1sigDetails: USER administratormarsCategory: Info/SuccessfulLogin/FTP

interfaceGroup: vs0vlan: 0participants:

attacker:addr: 163.180.17.91 locality="OUT"port: 1387

target:addr: 12.19.88.226 locality="IN"port: 21os: idSource="unknown" relevance="unknown" type="unknown"

summary: 2 final="true" initialAlert="1173129985693574773" summaryType="Regular"alertDetails: Regular Summary: 2 events this interval ; riskRatingValue: 37 targetValueRating="medium"threatRatingValue: 37interface: ge0_0protocol: tcp

















IPS обнаружила успешный вход на FTP-сервер от имени учетной записи“administrator”


Пример: SSH-подключение с высоким уровнем прав

Mar 28 16:19:01 xianshield sshd(pam_unix)[13698]: session opened for user root by (uid=0)Mar 28 16:19:01 xianshield sshd(pam_unix)[13698]: session opened for user root by (uid=0)Mar 28 16:19:01 xianshield sshd(pam_unix)[13698]: session opened for user root by (uid=0)

Syslog: вход с использованием записи root


Политика защиты данных

Персональные данные должны быть (ПДн) зашифрованы как при хранении, так и при передаче

Доступ к базе данных должен быть разрешен только с определенных серверов

Конфигурация СУБД должна быть защищенной в соответствии со стандартом настройки СУБД в компании Blanco Wireless

Политика обеспечения безопасности серверов

Рабочие серверы могут подключаться только к другим рабочим серверам Blanco

Все сетевые сервисы документированы

Число учетных записей с административными правами ограничено, такие учетные записи задокументированы

Прямое подключение к серверам устанавливается только с использованием личных учетных записей с низким уровнем прав

Журналирование процедур аутентификации, авторизации и изменений состояния сетевых сервисов

Blanco Wireless: политики



политики


о сети

Мониторинг безопасностиШесть этапов для повышения качества мониторинга

1 2


Вашу сеть можно назвать самозащищающейся?

© 2010 Cisc o and/or its affiliates. All rights reserved. Cisco ConfidentialBRKSEC-3061


Сбор данных о сетиЗнайте свои подсети!



Этимология

tele = удаленный(ое)

metron = измерение

Возможность удаленного измерения

Получение оператором нужных данных

Сбор данных о сетиТелеметрия



История: использовалась для планирования емкости

Обнаружение атак

Средства аналитики позволяютобнаруживать аномалии

Поддержка расследований

Инструментальные средства позволяютсобирать данные, определять тренды,определять корреляцию

Типовые примеры средств

OSU FlowTools

Lancope StealthWatch

Cacti/MRTG

NetQoS

Проста в освоении

Сетевая телеметрия —Практическая польза

23


Без синхронизации невозможно установить корреляцию

Решение: протокол NTP

Поддерживается практически всеми сетевыми системами

Распределенные системы: UTC позволяет решить проблему часовых поясов

Сетевая телеметрияОбязательное условие: синхронизация времени


• Телеметрические данные, поступающие от устройствCisco

• Простой обзор подключений

• Низкое воздействие на производительность

• БЕСПЛАТНО

• Не только Cisco

• Juniper, Huawei, ...

• Счет за телефонные разговоры

• Сбор сетевого трафика напоминает «прослушку»

Сетевая телеметрия —NetFlow


Сбор данных о сетиNetFlow

A

B

C

CB

A

CA

B


Данные NetFlow могут собираться и передаваться в различные средства

Сетевая телеметрия —сбор данных NetFlow


Сетевая телеметрияNetFlow в Cisco

ЦОД APAC

ЦОД в CASan Jose POP

ЦОДыв Сан-Хос е

ЦОД EMEA

РазныеЦОД

ЦОД дляис следователей

RTP PoP

ЦОДв Сиднее

Tel Aviv PoP

Johannesburg PoP

Milan PoP

Amsterdam PoP

Bangalore PoP

Sydney PoP

Singapore PoP

Tokyo PoP Hong Kong

PoP

240 000 п/с4 канала ISP

600 Гбайт3 месяца

Сбор в регионах позволяет разгрузить WANСбор в регионах позволяет разгрузить WAN

4,6 млрдсеансов/день


Сценарий: новый ботнет, обнаружение на хостах затруднено

Необходимо определить все системы, выходившие на связь с центром управления ботнета

Легко, если сбор данных NetFlow ведется на всех точках подключения

Сетевая телеметрияOSU FlowTools — кто выходит на связь?

Файл bot.acl: привычный синтаксис ACL. Создайте список "bot"


put in specific query syntax for the example

[mynfchost]$ head bot.aclip access-list standard bot permit host 69.50.180.3ip access-list standard bot permit host 66.182.153.176

[mynfchost]$ flow-cat /var/local/flows/data/2007-02-12/ft* | flow-filter -Sbot -o -...

Start End Sif SrcIPaddress SrcP DIf DstIPaddress DstP 0213.08:39:49.911 0213.08:40:34.519 58 10.10.71.100 8343 98 69.50.180.3 313370213.08:40:33.590 0213.08:40:42.294 98 69.50.180.3 31337 58 10.10.71.100 83

Объедините все файлы данных с 12.02.200, затем фильтр по src или dest и acl "bot"

А вот и участник ботнета!


Сетевая телеметрияГенератор пользовательских отчетов NetFlow



NetflowLancope — быстрый обзор

Сколько?Сколько?

Когда?Когда?

Кто?Кто? С кем?С кем?

Как?Как?


Сбор данных о сетиПример: средство управления IP-адресами


Критически важно формировать контекст инцидентаПринадлежит ли адрес к ДМЗ? лаборатории? пулу удаленного доступа? сегменту настольных компьютеров? ЦОД?

Обеспечьте возможность выполнения запросов по даннымДоступны коммерческие продукты и продукты с открытым исходным кодом

Задавайте данные на устройствах обеспечения ИБSIMS — группы ресурсов netForensicsIDS — переменные сети Cisco


30

variables DC_NETWORKS address 10.2.121.0-10.2.121.255,10.3.120.0-10.3.127.255,10.4.8.0-10.4.15.255variables DMZ_PROD_NETWORKS address 198.133.219.0-198.133.219.255variables DMZ_LAB_NETWORKS address 172.16.10.0-172.16.11.255

Конфигурация CS-IPS

eventId=1168468372254753459 eventType=evIdsAlert hostId=xxx-dc-nms-4appName=sensorAppappInstanceId=6718 tmTime=1178426525155 severity=1 vLan=700 Interface=ge2_1 Protocol=tcpriskRatingValue=26 sigId=11245 sigDetails=NICK...USER" src=10.2.121.10 srcDir=DC_NETWORKS srcport=40266 dst=208.71.169.36 dstDir=OUTdstport=6665

Уведомление CS-IPSХост

из ЦОД!Хост

из ЦОД!Хост

из ЦОД!



© 2008 Cisco Systems, Inc. All rights reserved. Cisco Publi c

Сеть компании Приобретенная компания

NAT

variables ACQUISITION_DATACENTER address 10.2.121.0-10.2.121.255,10.3.120.0-10.3.127.255,10.4.8.0-10.4.15.255variables ACQUISITION_LAB_NETS address 198.133.219.0-198.133.219.255variables ACQUISITION_XNET address 172.16.10.0-172.16.11.255

Конфигурация CS-IPS для сенсоров в новых сетях

Переменные уникальны, контекст присутствует!Переменные уникальны, контекст присутствует!

Перекрытие пространств

RFC1918!

Перекрытие пространств

RFC1918!


Телеметрия не ограничивается NetFlow, SNMPтакже может принести пользу

Отображение передаваемого объема данных

Сбор данных о сети —еще одно средство: MRTG/RRDTool/Cacti

Вы должнырасполагать данными о трафике!




Сведения о трафике

Данные о подсетях: управление IP-адресами10.10.0.0/19 A (Active) ЦОДы|-- 10.10.0.0/20 A (Active) ЦОД здания 3| |-- 10.10.0.0/25 S (Active) Подс еть Windows-серверов| |-- 10.10.0.128/25 S (Activ e) Подсеть Oracle 10g| |-- 10.10.1.0/26 S (Active) Ферма ESX VMWare| |-- 10.10.1.64./26 S (Activ e) Серверы web-приложений

10.10.0.0/16 A (Active) Кампус в Индиане|-- 10.10.0.0/19 A (Active) ЦОДы|-- 10.10.32.0/19 A (Activ e) Сети настольных компьютеров на объекте 1| |-- 10.10.32.0/24 S (Active) 1-й этаж здания 1| |-- 10.10.33.0/25 S (Active) 2-й этаж здания 1| |-- 10.10.33.128/25 S (Active) Здание 2

Сбор данных о сетиBlanco Wireless


BRKSEC-200617796_04_2008_c1

32

С учетом архитектуры, среды и уровней трафика с пиками свыше 400 Мбит/с

потребуется IPS 4260…а лучше IPS серии 4300






Сбор данных о сетиЗоны сети Blanco Wireless


BRKSEC-200617796_04_2008_c1

32

variables DC_NETWORKS address 10.10.0.0-1010.1.255variables WINDOWS_SERVER address 10.10.0.0-10.10.0.127variables ORACLE10G address 10.10.0.128-10.10.0.255variables ESX_VMWARE address 10.10.1.0-10.10.1.63variables WEB_APP_SERVER address 10.10.1.64-10.10.1.127variables BLDG1_1ST address 10.10.32.0-10.10.32.255variables BLDG1_2ND address 10.10.33.0-10.10.33.127variables BLDG2 address 10.10.33.238-10.10.33.255


10.10.0.0/25 Windows-серверы10.10.0.128/25 Oracle 10g10.10.1.0/26 Ферма ESX VMWare10.10.1.64/26 Серверы web-приложений10.10.32.0/24 Здание 1, 1ый этаж10.10.33.0/25 Здание 1, 2ой этаж10.10.33.128/25 Здание 2




целей


о сети


1 2 3


Выбор целейОпределение ресурсов для мониторинга

Важность для бизнеса Финансоваяценность

Воздействие на прибыль

Юридическаяважность

Уровень риска Реноме

Доступность Прямые расходы Упущенные продажи

Уставы/контракты Уязвимыесистемы

Системы для работыс заказчиками


Выбор целейСпособ определения

Анализ ценностидля бизнеса

Анализ ценностидля бизнеса

Оценка рисков

Система

Система

Выбраннаясистема

Выбранные хосты


Системы обработкипластиковых карт

Выбор целейПримеры нормативных требований

Sarbanes-OxleySarbanes-Oxley

Финансовыесистемы

Несанкцио-нированныеизменения

ПопыткивторженияPCI DSSPCI DSS


Выбор целейПримеры нормативных требований

Нормативный актГде проводить мониторинг

Что искать

Sarbanes-Oxley Финансовые системыНесанкционированные изменения, повышение привилегий

Graham-Leach Bliley Act Системы обработки ПДнНарушение правил доступа

PCI DSSХранилища данных о пластиковых картах

Попытки вторжения

Стандарты защиты критически важных систем(например, NERC)

Доступ к системам управления


Контрактные обязательстваСистемы, предостав-ляемые в рамках сервисного контракта


44© 2011 Cisc o and/or its affiliates. All rights reserved. Cisco Publi c

1010

110011

01101

000010

110100

10

1001

001010

101001

0100

011011

11011

01111

01010

010101

011100

1111

Выбор целейМножество потоков событий


1010

110011

01101

000010

110100

10

1001

001010

101001

0100

011011

11011

01111

01010

010101

011100

1111

Выбор целейПотоки событий, связанные с выбранными объектами Выбранные хосты

Потоки событий, связанные с

выбранными хостами


Конфиденциально

• Соблюдение нормативных требований• Интеллектуальная собственность• Данные о заказчиках

Конфиденциально

• Соблюдение нормативных требований• Интеллектуальная собственность• Данные о заказчиках

Высокий риск

• Мало средств обеспечения ИБ• Незащищенная конфигурация

Высокий риск

• Мало средств обеспечения ИБ• Незащищенная конфигурация

Источник прибыли

• Средства ведения бизнеса• Поддержка заказчиков

Источник прибыли

• Средства ведения бизнеса• Поддержка заказчиков

Выбор целейОптимальные цели для мониторинга


Выбор целейПример: компоненты ERP-системы (SAP R/3)

Серверыпредставления

(Linux)

Серверыприложений (Linux)

База данных(Oracle / Linux)

ЦОД

NIPSШлюзы

ЦОД

Уведом-ленияNIPS NetFlow

Файлы аудита SAP Журналы аудита БД

Данные syslog со

всех хостов Linux


Выбор целейBlanco Wireless: приложение для предоставления услуг


Выбор целейBlanco Wireless: приложение для предоставления услуг

Мониторинг

Документировать IP-адресаСхему именования

пользователейЭкземпляр БД,

имена схем БДСредства контроля

доступа


Выбор




целей


о сети


1 2 3 4


1010110010001101

11001101100

011010000100101

0000101111

110100001010

1011011001111

1001001001001

Web -сервер

DB DBСерверприл.

DBСервер

приложений

Маршрутизатор

Коммутатор

LDAP Кэш

Сервисы хоста

Выбор источников событийПотоки событий от различных компонентов

Поток событий БД

Поток событий маршрутизатора

Поток событий LDAP

52© 2011 Cisc o and/or its affiliates. All rights reserved. Cisco Publi c 52Cisco Confidential

Выбор источников событийТипы

53© 2011 Cisc o and/or its affiliates. All rights reserved. Cisco Publi c 53Cisco Confidential

Выбор источников событийТипы


Выбор источников событийПотоки данных NetFlow

Cisco Confidential

Получение Push

Расследование ✔

Уведомления ✖

Нагрузка ✔

Хранение ✔

Доступ Прямой запрос, SIEM


Выбор источников событийСетевая IDS

Cisco Confidential

Получение Пассивный сбор

Расследование ✖

Уведомление ✔


Хранение ✔

Доступ SIEM


Выбор источников событийДанные Syslog от устройств

Cisco Confidential



Уведомление ✖

Нагрузка ✖

Хранение ✖

Доступ Прямой + SIEM


Выбор источников событийДанные Syslog от серверов

Cisco Confidential








Выбор источников событийЖурналы приложений

Cisco Confidential

Получение Различное







Выбор источников событийСреда Oracle eBiz


IronPort WSA CaptureБлокировка Zeus

6

1281729668.247 0 64.102.69.122 TCP_DENIED/403 10548 GEThttp://nahwgwwergwyt.com/gamer/eqtewttetwq.img - NONE/- - 4 0 10BLOCK_WBRS-DefaultGroup-DefaultGroup-NONE-NONE<-,-6.2,-,-,-,-,-,-,-,-,-,-,-,-,-,-,-> - Hostname nahwgwwergwyt.com ServerIP 255.255.255.255 Referrer - User-Agent "Mozilla/4.0 (compatible; MSIE 7.0;Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; .NET4.0C)"Mcafee-Verdict - Webroot-Verdict - WBRS -6.2

.img)

Попытка Zeus (поддельный

.img)

Блокировка WSA (низкая репутация)


Выбор источников событийЖурналы Oracle

Получение Запрос к БД

Расследования ✖




Доступ Прямой


Выбор источников событийОптимальные источники

Cisco Confidential

Сетевая IDS• На основе сигнатур• Пассивный сбор• Основной источникуведомлений

Данные Syslog от серверов• Средство глубокого анализа• Поддержка фильтрации• Ограниченная нагрузка

Данные NetFlow• Низкая нагрузка на устройство• Основная база расследований• Низкие требования к хранилищу


Второстепенные событияЧто можно узнать из полученных событий

Тип устройства События

Все Аутентификация

Изменения конфигурации

Остановка/запуск сервисов

МСЭ Записи permit/deny

Удаленный доступ Назначение IP-адресов пользователю/хосту

Системы кэширования Доступ к контенту

DHCP-серверы Назначение IP-адресов пользователю/хосту

Поддержка WLAN Назначение IP-адресов пользователю/хосту


NetFlow• Подключение к БД извне ЦОД

• Копирование больших объемов из БД в сети настольных компьютеров

Syslog• Подключение к Unix-серверам с

высоким уровнем полномочий

• Остановки и перезапуски СУБД, web-сервера и SSH-сервера

Сетевая IPS• Известные атаки на ПО Oracle

• Пользовательские сигнатуры:

• Шаблон SSN (###-##-####) –передача в открытом виде

• Операторы Describe в запросах к БД

Аудит Oracle• Запросы к столбцу SSN в таблице

клиентов

• Запросы к таблицам V$

• Прямые подключения с высоким уровнем полномочий

Выбор источников событийBlanco Wireless: источники событий



Выбор




целей


о сети


1 2 3 4 5

66© 2011 Cisc o and/or its affiliates. All rights reserved. Cisco Publi c 66© 2010 Cisc o and/or its affiliates. All rights reserved. Cisco ConfidentialBRKSEC-3061

Тестирование и настройкаКорреляция событий: обработка событий


Тестирование и настройкаКорреляция событий: обработка событий

Cisco Confidential

Требования• Группа специалистов

• Набор правил обработки

• Процесс обработки событий/повышения уровня обработки

Набор правил обработки• Ключевые условия для

поиска наиболее популярных угроз

• Техническое обслуживание систем мониторинга

• Процедуры сбора данных об инцидентах

• Процедуры передачи обработки на следующий уровень


IDS — система обнаружения вторжений

пассивный мониторинг сетевого трафика

ограниченный функционал, в основном уведомления

IPS — система предотвращения вторжений

мониторинг трафика, передаваемого через систему

уведомления + возможность удаления пакетов

Тестирование и настройкаКраткое напоминание: сетевые IDS

Поток трафика

Поток трафика

пакеты {атаки}

Уве-дом-

ление?

Соот-ветст-вие?


Где требуется фильтрация транзитного трафика?

Развертывание в точке агрегации уровня распределения может привести к слишком большой нагрузке

VLAN уровня доступа, как правило, характеризуется слишком интенсивным трафиком

Ориентируйтесь на более мелкую область

Подсеть/VLAN/сегмент

Тестирование и настройкаIDS или IPS

Cisco Confidential

Область IDS

ОбластьIPS


Зоны контроля

Тестирование и настройкаIDS или IPS


Учитывайте все асимметричные маршрутыпередачи при анализе трафика!

Сокращайте число платформ и архитектур

Собирайте трафик восходящих каналовмаршрутизаторов на уровне распределения

Помните, что при использовании IPS каждое устройствохарактеризуется пороговым уровнем трафика (Мбит/с)

При устойчивом превышении порогапользуйтесь балансировкой нагрузки

Тестирование и настройкаНастройка сетевой IDS

53


Тестирование и настройкаРазвертывание NIDS


Тестирование и настройкаРазвертывание сетевой IDS в небольшом ЦОД


Тестирование и настройкаРазвертывание сетевой IDS в крупном ЦОД


Тестирование и настройкаНастройка IDS: следует рекомендациям Cisco SAFE

АнализАнализАнализ

ПроектПроектПроект

РазвертываниеРазвертываниеРазвертывание

УправлениеУправлениеУправление

НастройкаНастройкаНастройка

Без настройки…

сенсоры генерируют уведомления для всеготрафика, соответствующего критериям

уведомления перегружаютспециалистов по мониторингу

сетевая IDS генерирует события, иррелевантные вашей среде

зачастую данные IDSигнорируются или IDS отключается


Запуск в режиме promiscuous

Конфигурацию по умолчанию

Самые свежие сигнатуры

Настройка типового трафика

Анализ частых уведомлений

Трассировка до типовых адресов отправителя/получателя

Создание переменных для зон сети

Именование зон сети (DNS, email, ДМЗ)

Более четкое понимание трафика

Упрощение анализа

Упрощение фильтрации

Тестирование и настройкаНастройка IDS


Тестирование и настройкаНастройка IDS: настройка для типового трафика

Cisco Publi c

xxx-dc-ids-1# show stat virtVirtual Sensor Statistics

Statistics for Virtual Sensor vs0<snip>Per-Signature SigEvent count since reset

Sig 1101.0 = 22Sig 3041.0 = 43Sig 3052.0 = 1Sig 3135.3 = 13Sig 3159.0 = 12Sig 5829.0 = 17Sig 5837.0 = 22Sig 5847.1 = 2Sig 6005.0 = 281Sig 6054.0 = 49Sig 6055.0 = 7Sig 3030.0 = 2045681

Посмотрим наcisco.com

Статистика интерфейса

виртуального сенсора


Cisco IntelliShield – источник полезных сведений ;) (cisco.com/security)

Тестирование и настройкаНастройка IDS: исключение срабатываний на легитимный трафик

Сведения о том, что могло

срабатывание

Сведения о том, что могло вызвать ложное срабатывание

Sig 3030 = TCP SYN Host Sweep


Тестирование и настройкаНастройка IDS: настройка для типового трафика

xxx-dc-nms-1# show event alert past 00:01:00 | include 3030

evIdsAlert: eventId=1173255092619515843 severity=high vendor=Cisco originator:

hostId: xxx-dc-nms-1appName: sensorApp

time: 2007/04/23 18:50:47 2007/04/23 18:50:47 UTCsignature: description=TCP SYN Host Sweep id=3030 version=S2

subsigId: 0marsCategory: Info/Misc/ScannermarsCategory: Probe/FromScanner


attacker: addr: locality=IN 10.6.30.5

target: addr: locality=IN 10.9.4.4port: 80

Одно из устройств Одно из устройств сканирования сети генерирует трафик

TCP SYN

Все уведомления

для сигнатуры 3030 за 1 минуту


CS-IPS Config

Простота настройки с помощью переменных (а не IP) Пример: системы управления Простота добавления новых систем (значение переменной) Можно добавлять хосты и сети

Тестирование и настройкаНастройка IDS: использование переменных для зон

xxx-dc-nms-1# conf txxx-dc-nms-1(config)# service event-action-rules rules0variables MGT_SYSTEMS address

10.6.30.5,10.6.30.6,10.30.6.7,10.50.1.5,10.50.1.6,10.50.1.7

xxx-dc-nms-1# conf txxx-dc-nms-1(config)# service event-action-rules rules0variables MGT_SYSTEMS address

10.6.30.5,10.6.30.6,10.30.6.7,10.50.1.5,10.50.1.6,10.50.1.7

filters insert drop_mgt_system_alertssignature-id-range 4003,3030,2100,2152attacker-address-range $MGT_SYSTEMSvictim-address-range $INactions-to-remove produce-alert|produce-verbose-alert

filters insert drop_mgt_system_alertssignature-id-range 4003,3030,2100,2152attacker-address-range $MGT_SYSTEMSvictim-address-range $INactions-to-remove produce-alert|produce-verbose-alert

Фильтр для игнорирования сигнатур, если

отправитель входит в MGT_SYSTEMS

Переменная MGT_SYSTEMS


Тестирование и настройкаНастройка IDS: использование SIM для настройки событий



Более 2 000 сигнатур по умолчанию Тысячи уязвимостей и нелегитимных действий

Возможность создания пользовательских сигнатур

Тестирование и настройкаНастройка IDS: пользовательские сигнатуры

sig-fidelity-rating 100sig-descriptionsig-name IRC BOT DOMAINSsig-string-info IRC BOT DOMAINSsig-comment IRC BOT DOMAINSexitengine atomic-ipspecify-l4-protocol yesspecify-payload-inspection yesregex-string (\x03[Uu][Tt][Kk]\x0b[Tt][Hh][Ii][Rr][Tt][Yy][Ff][Ii][Vv][Ee][Kk]\x03[Oo][Rr][Gg])|(\x03[Bb][Ll][Aa]\x0f[Gg][Ii][Rr][Ll][Ss][Oo][Nn][Tt][Hh][Ee][Bb][Ll][Oo][Cc][Kk]\x03[Cc][Oo][Mm])exitl4-protocol udpspecify-dst-port yesdst-port 53

sig-fidelity-rating 100sig-descriptionsig-name IRC BOT DOMAINSsig-string-info IRC BOT DOMAINSsig-comment IRC BOT DOMAINSexitengine atomic-ipspecify-l4-protocol yesspecify-payload-inspection yesregex-string (\x03[Uu][Tt][Kk]\x0b[Tt][Hh][Ii][Rr][Tt][Yy][Ff][Ii][Vv][Ee][Kk]\x03[Oo][Rr][Gg])|(\x03[Bb][Ll][Aa]\x0f[Gg][Ii][Rr][Ll][Ss][Oo][Nn][Tt][Hh][Ee][Bb][Ll][Oo][Cc][Kk]\x03[Cc][Oo][Mm])exitl4-protocol udpspecify-dst-port yesdst-port 53

utk.thirtyfivek.org|bla.girlsontheblock.com


Передавайте данные NetFlowв те средства, которые вы выбрали

SIM, Lancope, ...

Упрощайте развертывание

Снижайте нагрузку на сеть

Тестирование и настройкаNetFlow: передача данных в системы SIM


Тестирование и настройкаЖурналы с хостов: сбор• Используйте распределенную систему сбора

• Региональные модули сбора

• Глобальное распределение

• Способы сбора

• Пересылка (syslog-ng)

• Модули пересылки (open source)

• Для региональных модулей сбора

• Фильтрация до уровня событий безопасности

• Считывание (свой скрипт)

• Отправка по SNMP

• Запрос (SQL)

• Публикуйте данные для других групп

• Сервер архива для последующего анализа

• Расширяемое NAS-хранилище

• Долговременное хранение данных

• Запуск средств анализа


Настройка и тестированиеЖурналы хостов: фильтрация


• Только данные из области ИБ

• Аутентификация/авторизация

• Состояние сервиса

• Системы безопасности

• Архив событий безопасности

• Хранится на сервере архива

• Поддерживает поиск с помощью средств анализа

• Используется для реакции, при расследовании и для мониторинга

• Дополнительные события остаются на региональном сервере

• Более старые журналы перезаписываются по мере необходимости

• Доступ для ИТ-специалистов


Тестирование и настройкаЖурналы хостов: журналы Windows• Пересылка с помощью агента

• Snare – «релей» в стиле syslog

• Необходимо указывать EventID

• Множество информации

• В более новых ОС события изменяются

• Vista vs XP, Server 2003 и Server 2008

• События, которые важны

• Аутентификация

• Успешный вход

• Неудачная попытка входа

• Авторизация

• Привилегированные сервисы

• Привилегированный режим

• События процессов Windows

• События контроллера домена

• Ошибки Kerberos

• Ошибки NTLM

• Системы безопасности


Используем средства формирования отчетов NetFlow для формирования уведомлений о копировании файлов из подсети Oracle10g

Тестирование и настройка: NetFlowBlanco Wireless: внедрение NetFlow

[mynfchost]$ head flow.aclip access-list standard oracle10g permit 10.10.0.128 0.0.0.127

[mynfchost]$ flow-cat /var/local/flows/data/2007-05-05/ft* | flow-filter -Soracle10g | flow-dscan -O 50000000 | logger -f outputfile -p local4

[mynfchost]# crontab -e* * * * * su - netflow -c "env LANG=C; DATE=`date +%Y"/"%m"/"%d`; flow-cat /var/local/flows/data/$DATE/ft* | flow-filter -Soracle10g | flow-dscan -O 500000000 | logger -foutputfile -p local4”

[mynfchost]$ head flow.aclip access-list standard oracle10g permit 10.10.0.128 0.0.0.127

[mynfchost]$ flow-cat /var/local/flows/data/2007-05-05/ft* | flow-filter -Soracle10g | flow-dscan -O 50000000 | logger -f outputfile -p local4

[mynfchost]# crontab -e* * * * * su - netflow -c "env LANG=C; DATE=`date +%Y"/"%m"/"%d`; flow-cat /var/local/flows/data/$DATE/ft* | flow-filter -Soracle10g | flow-dscan -O 500000000 | logger -foutputfile -p local4”

flow.acl: привычныйсинтаксис ACL.

flow.acl: привычныйсинтаксис ACL.

Объединение всех файлов с 5 мая 2007 г.,

фильтр src = сеть ‘oracle10g’, запись

результатов в syslog

Создание списка ‘oracle10g’

Добавление в список crontabдля автоматизации



signatures 60001 0!sig-descriptionsig-name SSN_POLICYsig-string-info SSN HANDLING POLICY VIOLATIONsig-comment CLEARTEXT SSNexit

engine string-tcpevent-action produce-verbose-alertspecify-min-match-length noregex-string ([0-9][0-9][0-9]-[0-9][0-9]-[0-9][0-9][0-9][0-9])service-ports 1-65535exit

signatures 60001 0!sig-descriptionsig-name SSN_POLICYsig-string-info SSN HANDLING POLICY VIOLATIONsig-comment CLEARTEXT SSNexit

engine string-tcpevent-action produce-verbose-alertspecify-min-match-length noregex-string ([0-9][0-9][0-9]-[0-9][0-9]-[0-9][0-9][0-9][0-9])service-ports 1-65535exit

Пользовательская сигнатура для поиска незашифрованных SSN при передаче между хостами, кроме серверов web-приложений Oracle10g

Тестирование и настройка: NIDSBlanco Wireless: внедрение сетевой IDS

Пользовательская сигнатура 60001 “SSN_POLICY”

Regex, описывающий формат SSN:###-##-####

Regex, описывающий формат SSN:###-##-####


CS-IPS Config

Использование сигнатуры для поиска незашифрованных SSN при передаче между хостами, кроме серверов web-приложений Oracle10g


xxx-dc-nms-1# conf txxx-dc-nms-1(config)# service event-action-rules rules0variables ORACLE_10G address 10.10.0.128-10.10.0.255variables ORACLE_WEBAPP address 10.10.1.64-10.10.1.95variables DESKTOP_NETS address 10.10.32.0-10.10.63.255

filters insert drop_desktop_to_webapp_alertssignature-id-range 60001attacker-address-range $DESKTOP_NETSvictim-address-range $ORACLE_WEBAPPactions-to-remove produce-alert|produce-verbose-alertfilters insert drop_webapp_to_desktop_alertssignature-id-range 60001attacker-address-range $ORACLE_WEBAPPvictim-address-range $DESKTOP_NETSactions-to-remove produce-alert|produce-verbose-alert

xxx-dc-nms-1# conf txxx-dc-nms-1(config)# service event-action-rules rules0variables ORACLE_10G address 10.10.0.128-10.10.0.255variables ORACLE_WEBAPP address 10.10.1.64-10.10.1.95variables DESKTOP_NETS address 10.10.32.0-10.10.63.255

filters insert drop_desktop_to_webapp_alertssignature-id-range 60001attacker-address-range $DESKTOP_NETSvictim-address-range $ORACLE_WEBAPPactions-to-remove produce-alert|produce-verbose-alertfilters insert drop_webapp_to_desktop_alertssignature-id-range 60001attacker-address-range $ORACLE_WEBAPPvictim-address-range $DESKTOP_NETSactions-to-remove produce-alert|produce-verbose-alert

Создание переменных для

подсетей

Фильтрация уведомлений от серверов web-приложений

oracle

Тестирование и настройка: NIDSBlanco Wireless: использование сетевой IDS


Пользовательская сигнатура для поиска SQL- инструкции describe,направленной в рабочую базу данных

МониторингBlanco Wireless: использование сетевой IDS

signatures 60002 0!sig-descriptionsig-name SQL_DESCRIBEsig-string-info SQL dB enumerationsig-comment Should not see in prodexitengine string-tcpevent-action produce-verbose-alertspecify-min-match-length noregex-string [Dd][Ee][Ss][Cc][Rr][Ii][Bb][Ee]service-ports 1433-1433exit

signatures 60002 0!sig-descriptionsig-name SQL_DESCRIBEsig-string-info SQL dB enumerationsig-comment Should not see in prodexitengine string-tcpevent-action produce-verbose-alertspecify-min-match-length noregex-string [Dd][Ee][Ss][Cc][Rr][Ii][Bb][Ee]service-ports 1433-1433exit

Сигнатура 60002 SQL_DESCRIBEСигнатура 60002 SQL_DESCRIBE

regex для поиска SQL-инструкции

describe

regex для поиска SQL-инструкции

describe

CS-IPS Config


Настройка уведомлений при доступе из подсети для рабочих компьютеров к базам данных для разработчиков

МониторингBlanco Wireless: использование сетевой IDS

filters insert drop_desktop_to_devdb_alertssignature-id-range 60002attacker-address-range $MGT_SERVERSvictim-address-range 10.10.0.120actions-to-remove produce-alert|produce-verbose-alert

filters insert drop_desktop_to_devdb_alertssignature-id-range 60002attacker-address-range $MGT_SERVERSvictim-address-range 10.10.0.120actions-to-remove produce-alert|produce-verbose-alert

Применение фильтра для уведомлений о доступе

систем управления к базам для разработчиков








целей


о сети


1 2 3 4 5 6


SPAN-порты на маршрутизаторах и коммутаторах

Журналирование NetFlow от маршрутизаторов

Журналирование событий выбранных типов

Журналирование заданных событий, связанных с работой сетевых устройств

ЭксплуатацияДокументирование обещаний — сетевые администраторы

NIDS

Маршрутизаторы

ВыСетевыеадминистраторы


СистемныеадминистраторыВы

Журналирование событий безопасности заданных типов

Получатель журналов (для модулей сбора событий)

Поддержка операционных систем

ЭксплуатацияДокументирование обещаний — системные администраторы

Серверы


Обеспечение соответствия конфигурации устройств политике журналирования

Повышение согласованности

Процедуры

1. Формирование и развертывание стандартного шаблона

2. Развертывание с помощью инструментальных средств

Red Hat Network

Microsoft System Center Configuration Manager

...или создание своей среды

Шаблоны автоконфигурации Cisco

ЭксплуатацияАвтоматизация управления конфигурациями


ЭксплуатацияПример шаблона Syslog

# Sample section of syslog.conf to enable remote logginglocal2.notice /var/log/sudologlocal2.notice @10.83.4.102local3.info /var/adm/ssh.loglocal3.info @10.83.4.102local4.info /var/adm/tcpwrap.loglocal4.info @10.83.4.102local7.info /var/adm/portsentry.loglocal7.info @10.83.4.102*.err;kern.debug;daemon.notice;[email protected] /var/log/authlogauth.notice @10.83.4.102

# Sample section of syslog.conf to enable remote logginglocal2.notice /var/log/sudologlocal2.notice @10.83.4.102local3.info /var/adm/ssh.loglocal3.info @10.83.4.102local4.info /var/adm/tcpwrap.loglocal4.info @10.83.4.102local7.info /var/adm/portsentry.loglocal7.info @10.83.4.102*.err;kern.debug;daemon.notice;[email protected] /var/log/authlogauth.notice @10.83.4.102

Модуль сбора Syslog10.83.4.102


ЭксплуатацияПример шаблона конфигурации маршрутизатора

# Setup NetFlow export to our# collector at 10.83.4.99ip flow-export source Loopback0ip flow-export version 5ip flow-export destination 10.83.4.99 2055

# Setup logging for certain events to our# event log collector at 10.83.4.102logging facility authlogging facility daemonlogging trap informationallogging host 10.83.4.102

# Setup NetFlow export to our# collector at 10.83.4.99ip flow-export source Loopback0ip flow-export version 5ip flow-export destination 10.83.4.99 2055

# Setup logging for certain events to our# event log collector at 10.83.4.102logging facility authlogging facility daemonlogging trap informationallogging host 10.83.4.102

Модуль сбора NetFlow10.83.4.102

Модуль сбора Syslog10.83.4.102


ЭксплуатацияПоддержание потока данных от IDS

Sensor no longer receiving traffic


ЭксплуатацияМониторинг систем


ЭксплуатацияСредства мониторинга


ЭксплуатацияМониторинг работоспособности

Диск

Память

Возможность подключения


ЭксплуатацияМониторинг работоспособности

test-gw1>show procCPU utilization for five seconds: 2%/0%; one minute: 0%; five minutes: 0%PID QTy PC Runtime (ms) Invoked uSecs Stacks TTY Process1 Cwe 6003581C 72 2460 29 5484/6000 0 Chunk Manager 2 Csp 60B76818 16392 6145008 2 2556/3000 0 Load Meter 3 Mwe 627D8898 0 1 0 5576/6000 0 chkpt message ha4 Mwe 623E45B0 0 1 023380/24000 0 EDDRI_MAIN 5 Lst 60032B70 51948052 3224063 16112 5264/6000 0 Check heaps

[netflow@blanco-nfc-1 ~]# ps auxww | grep -i zUSERPID %CPU %MEM VSZ RSS TTY STAT START TIME COMMANDnetflow 14644 0.0 0.0 0 0 ? Z Sep19 0:02 [find] <defunct>netflow 27622 0.0 0.0 0 0 ? Z Sep20 0:02 [find] <defunct>

Использование памяти

Нагрузка на ЦП

Поиск процессов

defunct


ЭксплуатацияМониторинг сетевой IDS

Состояние портов

Основные сигнатуры

Важнейшие процессы

Последняя тревога NIDS

NIDS-1 10 минут назад

NIDS-2 43 минуты назад

Число тревог Модульанализа

HTTPS

dc-gw-1

dc-gw-3


ЭксплуатацияМониторинг сетевой IDS на примере Cisco IPS

ids-1# show versionids-1# show versionApplication Partition:

Cisco Intrusion Prevention System, Version 6.1(1)E2

-- output clipped for brevity --

MainApp M-2008_APR_24_19_16 (Release) 2008-04-24T19:49:05-0500 Running AnalysisEngine ME-2008_JUN_05_18_26 (Release) 2008-06-05T18:55:02-0500 Running CLI M-2008_APR_24_19_16 (Release) 2008-04-24T19:49:05-0500 -- output clipped for brevity --

ids-1# show versionApplication Partition:

Cisco Intrusion Prevention System, Version 6.1(1)E2


Using 1901985792 out of 4100345856 bytes of available memory (46% usage)system is using 17.7M out of 29.0M bytes of available disk space (61% usage)application-data is using 51.6M out of 166.8M bytes of available disk space (33% usage)boot is using 40.6M out of 69.5M bytes of available disk space (62% usage)


Состояние ключевых процессов

Объем доступной

памяти


ЭксплуатацияМониторинг модулей сбора

Файловая системаПроцессы

Файлы данных Объем трафика

ЖурналПоследняя

запись

/logs/server1 10 минут назад

/logs/server2 43 минуты назад

syslog-ng

syslog-ng

Чтение

Запись


ЭксплуатацияМониторинг хостов и устройств — проверки вручную

[mnystrom@collector-1 logs]$ egrep "Sep 19 03:.*webserver-1” /apps/logs/all-*

/apps/logs/all-06:Sep 19 03:27:35 webserver-1 ntpdate[9910]: [ID 558275 daemon.notice] adjust time server 10.81.254.202 offset 0.037428 sec

/apps/logs/all-06:Sep 19 03:30:22 webserver-1 sshd[9967]: [ID 800047 local3.info] Accepted rsa for root from 171.70.170.241 port 45915

Контроль событий

$ ssh webserver-1 grep 10.83.4.102 /etc/syslog.conf

*.* @10.83.4.102

Контроль конфигурации

Проверка conf-файлов (отправка

событий)

Проверка поступления

событий







целей


о сети


1 2 3 4 5 6


Мониторинг запрещенных событий

Необходимо определить список запрещенных действийи пытаться их обнаружить

Критерии применимости: возможность полного описания всех запрещенных действий, достаточно короткий список, невозможность сужения спектра событий до краткого списка допустимых

Мониторинг аномалий

Необходимо описать нормальное состояние и обнаруживать события,выходящие за рамки нормального состояния

Перспективно, высока вероятность ложных срабатываний.

Мониторинг соответствия политикам

Описание набора критериев, по котором оценивается допустимость или недопустимость действия и сбор данных.

Критерии применимости: контроль над средой (системами, сервисами), вероятность маскировки вредоносных воздействий

Подходы к мониторингу


Спасибо за внимание.

Мониторинг в сфере ИБ: апробированные методы...

Technology

ci sc o andor

sbot o

publi c31

publi c8

publi c13

publi c24

confi dentic cis

netflow netflow