Monitoring_i_bezpieczenstwo_sieci_mobesi.pdf

(212 KB) Pobierz
Monitoring
i bezpieczeñstwo sieci
Autor:
Chris Fry, Martin Nystrom
T³umaczenie: Wojciech Moch
ISBN: 978-83-246-2552-9
Tytu³ orygina³u:
Security Monitoring
Format: 168×237, stron: 224
Poznaj najskuteczniejsze metody obrony sieci korporacyjnych
• Jak stworzyæ profesjonalny system kontroli zabezpieczeñ?
• Jak utrzymaæ solidne Ÿród³a danych?
• Jak okreœliæ rodzaje zdarzeñ niezbêdne do wykrywania naruszeñ regu³?
Wszêdobylskoœæ i niesamowite mo¿liwoœci wspó³czesnych z³oœliwych programów
sprawiaj¹, ¿e nikt dziœ nie mo¿e polegaæ wy³¹cznie na oprogramowaniu antywirusowym
– nawet jeœli jest ono wci¹¿ aktualizowane. Z powodu ci¹gle zmieniaj¹cego siê zagro¿enia
dla systemu informatycznego organizacji niezbêdne sta³o siê aktywne monitorowanie
sieci. Autorzy tej ksi¹¿ki proponuj¹ Ci taki w³aœnie nowoczesny, skuteczny system
zabezpieczeñ. Jeœli spróbujesz wdro¿yæ u siebie kilka z ich zaleceñ, w znacznym
stopniu podniesiesz bezpieczeñstwo sieci korporacyjnej. Jeœli natomiast zrealizujesz
wszystkie zalecenia, masz szansê stworzyæ jeden z najlepszych na œwiecie systemów
monitoruj¹cych! Zatem do dzie³a!
Ksi¹¿ka „Monitoring i bezpieczeñstwo sieci” zawiera zestaw wyj¹tkowych metod,
s³u¿¹cych do wykrywania incydentów w sieciach globalnych. Autorzy – eksperci do
spraw bezpieczeñstwa – najpierw podaj¹ elementy niezbêdne do prowadzenia
skutecznego monitorowania sieci, a nastêpnie pokazuj¹, jak stworzyæ ukierunkowane
strategie oraz wdro¿yæ pragmatyczne techniki ochrony. Z tego podrêcznika dowiesz siê,
w jaki sposób definiowaæ regu³y dotycz¹ce bezpieczeñstwa, regulacji i kryteriów
monitorowania. Nauczysz siê zbieraæ informacje o infrastrukturze poddawanej obserwacji,
wybieraæ cele i Ÿród³a monitorowania. Dziêki temu samodzielnie stworzysz niezawodny
system kontroli zabezpieczeñ!
• Implementowanie regu³ monitorowania
• Rodzaje regu³
• Taksonomia sieci
• Wybieranie celów monitorowania
• Wybieranie Ÿróde³ zdarzeñ
• Automatyczne monitorowanie systemów
• Telemetria sieci
• Zarz¹dzanie adresami IP
Zabezpiecz sieæ – wykorzystaj najskuteczniejsze,
nowoczesne metody monitorowania systemów informatycznych!
Spis tre ci
Wst�½p .............................................................................................................................5
1. Zaczynamy ....................................................................................................................11
Szybko zmieniajñcy siö ksztaät zagro eþ
Po co monitorowaè?
Wyzwanie monitoringu
Zlecanie monitorowania zabezpieczeþ
Monitorowanie w celu minimalizacji ryzyka
Monitorowanie sterowane reguäami
Czy to zadziaäa w moim przypadku?
Produkty komercyjne a produkty o otwartych ródäach
Firma Blanco Wireless
13
14
16
18
18
18
19
19
19
2. Implementowanie regu monitorowania ................................................................... 21
Monitorowanie czarnej listy
Monitorowanie anomalii
Monitorowanie reguä
Monitorowanie z wykorzystaniem zdefiniowanych reguä
Rodzaje reguä
Reguäy dla firmy Blanco Wireless
Wnioski
23
25
26
27
28
37
40
3. Poznaj swojé sieë ......................................................................................................... 41
Taksonomia sieci
Telemetria sieci
Sieè firmy Blanco Wireless
Wnioski
41
47
63
65
4. Wybieranie celów monitorowania ............................................................................. 67
Metody wybierania celów
Praktyczne porady przy wybieraniu celów
68
81
3
Zalecane cele monitorowania
Wybieranie komponentów w ramach celów monitorowania
Blanco Wireless: Wybieranie celów monitorowania
Wnioski
82
83
86
88
5. Wybieranie róde zdarze .........................................................................................89
Zadanie ródäa danych
Wybieranie ródeä zdarzeþ dla firmy Blanco Wireless
Wnioski
89
102
103
6. Dostosowywanie ....................................................................................................... 105
Sieciowe systemy wykrywania wäamaþ
Wdra anie systemu NIDS
Protokoäy systemowe
NetFlow
ródäa alarmów bezpieczeþstwa w firmie Blanco Wireless
Wnioski
105
111
124
141
145
148
7. Utrzymywanie niezawodnych róde danych .......................................................... 149
Utrzymywanie konfiguracji urzñdzeþ
Monitorowanie monitorujñcych
Monitorowanie baz danych
Automatyczne monitorowanie systemów
Monitorowanie systemów w firmie Blanco Wireless
Wnioski
150
155
165
169
173
180
8. Konkluzja: nie traë kontaktu z rzeczywisto cié ........................................................181
Co mo e siö nie udaè?
Studium przypadków
Opowie ci zespoäów CSIRT
Wymagania minimalne
Wnioski
182
188
194
195
201
A Szczegó owa konfiguracja narz�½dzi OSU flow-tools ..............................................203
Konfigurowanie serwera
Konfigurowanie eksportu danych NetFlow na routerze
203
205
B Szablon umowy o wiadczenie us ug ....................................................................... 207
Umowa o wiadczenie usäug: dziaä sieci i dziaä bezpieczeþstwa
207
C Obliczanie dost�½pno ci ..............................................................................................211
Skorowidz .................................................................................................................. 215
4
_
Spis tre ci
ROZDZIA 1.
Zaczynamy
Byä styczeþ 2003 roku. Praca na stanowisku in yniera sieci obsäugujñcego sieci centrów da-
nych w Cisco nie mogäa byè lepsza. 21 stycznia mój zespóä wiötowaä wyäñczenie przez wice-
prezesa ostatniej centrali typu Avaya PBX, dziöki czemu poäñczenia telefoniczne kampusu
Research Triangle Park (TRP) byäy w 100 procentach obsäugiwane w technologii VoIP. Wäa-
nie zakoþczyli my unowocze nianie okablowania i sprzötu sieci WAN i mieli my nadziejö
na zwiökszenie dostöpno ci naszych zdalnych centrów. Niestety 25 stycznia (to byäa sobota)
robak SQL Slammer poczyniä spustoszenie w sieciach caäego wiata. Robak ten, znany równie
pod nazwñ Sapphire, atakowaä niezabezpieczone serwery MS-SQL, wykorzystujñc do tego
zäo liwy i samorozprzestrzeniajñcy siö kod. Specjali ci od zabezpieczeþ z pewno ciñ doskonale
pamiötajñ ten dzieþ. Technika rozprzestrzeniania siö robaka mogäa tworzyè efekt podobny do
ataku odmowy dostöpu do usäug (ang.
denial-of-service
— DoS), co powodowaäo wyäñczanie
kolejnych sieci.
Jedynñ cechñ odró niajñcñ tego robaka od normalnej komunikacji z serwerem SQL byäa du a
liczba pakietów UDP o wielko ci 376 bajtów kierowanych na port 1434
1
.
Dostawcy usäug internetowych zaczöli blokowaè ruch sieciowy za pomocñ filtrów wej cia-wyj-
cia, ale byäo ju za pó no, eby uchroniè swoje systemy przed infekcjñ. Chodziäo tu raczej
o zabezpieczenie podstawowych struktur internetu.
Robak Sapphire byä najszybciej rozprzestrzeniajñcym siö robakiem w historii. Od momentu roz-
poczöcia dziaäania w internecie podwajaä swój rozmiar co 8,5 sekundy. W ciñgu 10 minut zainfe-
kowaä ponad 90 procent komputerów podatnych na jego atak
2
.
Szybko è replikacji robaka i liczba zainfekowanych systemów oraz sieci korporacyjnych szyb-
ko spowodowaäa zapeänienie linii komunikacyjnych kolejnymi próbami infekcji systemów.
Administratorzy sieci obsäugujñcy äñcza WAN w USA dowiedzieli siö o problemie dopiero
wtedy, gdy ich pagery zaczöäy bäyskaè jak lampki bo onarodzeniowe, przekazujñc alarmy
o zwiökszonym obciñ eniu sieci. Na zakoþczenie otrzymywali tylko informacjö protokoäu
SNMP — äñcze wyäñczone (ang.
link down).
Poczñtkowo sñdzili my, e problem zwiñzany jest
z kartñ sieciowñ D3, którñ niedawno wymienili my w jednym z naszych routerów. Jednak
w momencie gdy ten sam problem zaczöäy zgäaszaè äñcza innych biur regionalnych, zorien-
towali my siö, e jest to co znacznie powa niejszego.
1
2
http://www.cert.org/advisories/CA-2003-04.html
http://www.caida.org/publications/papers/2003/sapphire/sapphire.html
11
Do wiadczali my ju problemów z sieciñ powodowanych przez infekcje wirusami, takimi jak
Code Red (atakowaä on podane serwery WWW Microsoft IIS), ale aden z nich nie spowo-
dowaä nawet czö ci chaosu, jaki wywoäaä Slammer. Kilka zara onych nim komputerów byäo
w stanie wygenerowaè ruch sieciowy zdolny przeciñ yè äñcza sieci WAN i doprowadziè do
powa nych problemów z äñczno ciñ z oddziaäami na caäym wiecie. Ostatecznie udaäo siö
stwierdziè, e wiökszo è zara onych systemów to nieaktualizowane serwery laboratoryjne.
Ich identyfikowanie i migrowanie byäo naprawdö zäo onym zadaniem:
x
Wdro onych zostaäo zbyt maäo systemów wykrywania wäamaþ do sieci (ang.
network
intrusion detection systems
— NIDS), a na dodatek nikt nie byä odpowiedzialny za przeglñ-
danie i reagowanie na alarmy zgäaszane przez zainfekowane systemy.
x
Systemy telemetrii sieciowej (takie jak NetFlow) i wykrywania anomalii nie byäy wystar-
czajñce, aby zidentyfikowaè zainfekowane systemy.
x
Nie byäo mo liwo ci ustalania priorytetów zgäoszeþ. Mieli my do dyspozycji tylko adre-
sy IP i nazwy DNS zainfekowanych komputerów. Niestety zabrakäo informacji kontek-
stowych, takich jak „serwer obsäugi danych”, „komputer u ytkownika w sieci LAN” albo
„serwer laboratoryjny”.
W ciñgu kolejnych 48 godzin zespoäy specjalistów od sieci identyfikowaäy zainfekowane sys-
temy, korzystajñc z powolnego procesu polegajñcego na rozsyäaniu zalecanych list kontroli
dostöpu (ang.
access control list
— ACL) do wszystkich routerów WAN
3
, które miaäy blokowaè
pakiety. Wszystkie trafienia zasady kontroli dostöpu (ang.
access control entry
— ACE) bloku-
jñcej pakiety UDP na porcie 1434 oznaczaäy zainfekowany komputer. Nie mogli my jednak
zidentyfikowaè adresów IP komputerów tworzñcych takie trafienia, poniewa dodanie opcji
„log” do tej reguäy powodowaäo lawinowy wzrost wykorzystania procesorów w routerach
i drastycznie zmniejszaäo wydajno è pracy sieci. Kolejny krok polegaä na analizowaniu wy-
korzystania portów na przeäñcznikach sieciowych i wyszukiwaniu w ten sposób zainfekowa-
nych komputerów, a nastöpnie blokowaniu im feralnego portu. Ten proces wymagaä sporej
liczby ludzi i oczywi cie czasu.
Je eli zaimplementowaliby my choè kilka zabezpieczeþ omawianych w niniejszej ksiñ ce, na-
sze zespoäy techników mogäyby znacznie szybciej ograniczyè mo liwo ci dziaäania robaka.
Wäa ciwe wdro enie systemów NIDS pozwoliäoby na natychmiastowe uzyskanie adresów IP
zainfekowanych systemów i odpowiedniñ ich segregacjö w zale no ci od przynale no ci do
poszczególnych sieci (serwery centrów danych, serwery laboratoryjne, komputery biurkowe
— bödziemy o tym mówiè w rozdziale 6.). Jeszcze przed wykorzystaniem sygnatur systemów
NIDS mogliby my u yè systemu NetFlow, aby wykryè zainfekowane komputery za pomocñ
wykrywanych wzorców ruchu sieciowego, o których bödziemy mówiè w rozdziale 3. Na pod-
stawie tych informacji mo na przygotowaè dobrze zaplanowanñ, prioretyzowanñ odpowied
na zagro enie, a na zainfekowane systemy mo na by naäo yè odpowiednie ograniczenia. Sa-
ma informacja o adresach IP z systemu NetFlow pozwoliäaby ma szybkñ, manualnñ inspekcjö
tablic ARP i powiñzaþ adresów MAC z adresami IP w routerach. Dziöki tym informacjom
administratorzy mogliby szybko wyäñczyè odpowiednie porty w przeäñcznikach sieciowych
i zablokowaè mo liwo ci rozprzestrzeniania siö robaka.
W tej ksiñ ce opisujemy infrastrukturö oraz narzödzia, które bardzo pomogäyby nam kilka
miesiöcy pó niej, gdy zaatakowaä robak Nachi. Niestety nie byli my w stanie tego przewidzieè
i Nachi spowodowaä te same zniszczenia i byä ograniczany w tym samym manualnym proce-
sie co robak Slammer.
3
http://www.cisco.com/warp/public/707/cisco-sn-20030125-worm.shtml
_
Rozdzia 1. Zaczynamy
12

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika:

Zgłoś jeśli naruszono regulamin