ŠOLSKI CENTER ZA POŠTO, EKONOMIJO IN TELEKOMUNIKACIJE LJUBLJANA VIŠJA STROKOVNA ŠOLA DIPLOMSKA NALOGA MARKO KOVAČ Ljubljana, november 2008
ŠOLSKI CENTER ZA POŠTO, EKONOMIJO IN TELEKOMUNIKACIJE LJUBLJANA VIŠJA STROKOVNA ŠOLA Študijski program: telekomunikacije DIPLOMSKA NALOGA Sistem za zaznavanje vdorov v brezžičnih omrežjih WIDS Diplomant: Marko Kovač Mentor: mag. Boštjan Fele Lektor: Gregor Rihtar, dipl. slav. Vpisna številka: 12130080498 Ljubljana, november 2008
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 2 ZAHVALA Zahvaljujem se mentorju, gospodu mag. Boštjanu Fele za pomoč in usmerjanje pri izdelavi diplomske naloge. Zahvaljujem se tudi lektorju Gregi Rihtarju, diplomirani slavist, ki je poskrbel, da je moja naloga slovnično pravilno napisana in Ireni Kovač za pomoč pri oblikovanju. Prav tako se zahvaljujem tudi vsem ostalim, ki so na kakršen koli način pripomogli pri izdelavi diplomske naloge.
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 3 POVZETEK V diplomski nalogi raziskujem, kaj je Sistem za zaznavanje in preprečevanje vdorov, katere so njegove glavne komponente in načini odkrivanj in preprečevanj vdorov. Posebej sem se osredotočil na brezžični sistem za zaznavanje in preprečevanje vdorov, saj sem želel pridobiti dodatna znanja na področju varnosti v brezžičnem omrežju. Zanimalo me je, kako deluje sistem, katere značilnosti ima, njegove dobre lastnosti ter slabosti, kako se implementira ter, kako se sistem vzdržuje. KLJUČNE BESEDE Sistem za zaznavanje in preprečevanje vdorov, Požarni zid, Skeniranje portov, Odkrivanje na osnovi podpisa, Odkrivanje na osnovi odstopanj, Brezžično lokalno omrežje, Dostopovna točka.
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 4 SUMMARY In my diploma paper I basically explore what Intrusion detection and prevention system is, what are its main components and how the intrusions are detected. I specially focused on wireless intrusion detection and prevention system because I wanted some additional knowlege regarding security in wireless systems. I explored how the system works, what are its main features, what are good things of the system and its weaknesses, how to implement it into the enviroment and how to maintain the system. KEY WORDS Wireless Intrusion detection and prevention system, Malware, Spyware, Firewall, Port scan, Host scan, Anomaly based detection, Host based detection, Signature based detection, Wireless local area network, Access point.
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 5 KAZALO VSEBINE SEZNAM KRATIC...7 1 UVOD...8 2 SISTEM ZAZNAVANJA VDOROV...9 2.1 UPORABA IDPS TEHNOLOGIJ... 10 2.2 KLJUČNE FUNKCIJE IDPS TEHNOLOGIJE... 11 2.3 OBIČAJNE DETEKCIJSKE METODOLOGIJE... 14 2.3.1 ODKRIVANJE NA OSNOVI PODPISA (Signature Based detection - SBD)... 14 2.3.2 ODKRIVANJE NA OSNOVI ANOMALIJ (Anomaly Based Detection - ABD)... 15 2.3.3 ANALIZA STANJA PROTOKOLA (Stateful protocol analysis - SPA)... 17 3 IDPS tehnologije...19 3.1 Omrežni IDPS... 19 3.2 Analiza vedenja omrežja... 21 3.3 Strežniški IDPS... 22 4 BREZŽIČNI IDPS...26 4.1 Pregled brezžičnega omrežja... 26 4.1.1 WLAN standardi... 26 4.1.2 WLAN komponente... 27 4.1.3 Grožnje za WLAN... 28 4.2 Tipične komponente... 29 4.3 Struktura omrežja... 31 4.4 Lokacije senzorjev... 32 4.5 Možnost zbiranja informacij... 34 4.5.1 Možnost zapisovanja... 35 4.5.2 Možnosti odkrivanja... 35 4.5.3 Tipi odkritih dogodkov... 36 4.5.4 Natančnost odkrivanja... 38 4.5.5 Nastavljanje in prilagajanje... 38 4.5.6 Tehnološke omejitve... 39 4.5.7 Preventivne možnosti... 40 4.6 Upravljanje... 41 4.6.1 Implementacija... 41 4.6.2 Testiranje in namestitev komponent... 43 4.6.3 Zavarovanje IDPS komponent... 44
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 6 4.7 Delovanje in vzdrževanje... 45 4.7.1 Tipična uporaba... 46 4.7.2 Stalno vzdrževanje... 47 4.7.3 Pridobivanje in uporaba posodobitev... 47 4.7.4 Pridobivanje in obnavljanje potrebnega znanja... 49 5 Zaključek...52 6 Viri in literatura...53 KAZALO SLIK: SLIKA 1: POVEZAVA MED AP, STA IN DS... 27 SLIKA 2: ARHITEKTURA WIDS... 32
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 7 SEZNAM KRATIC ABD - Anomaly Based Detection AP - Access Point, dostopna točka CLI - Command-Line Interface DMZ - Demilitarized Zone DS - Distribution System, distribucijski sistem HBA - Host Based Analysis ICMP - Internet Control Message Protocol IDPS - Intrusion Detection and Prevention System, sistem za zaznavanje in preprečevanje vdorov IDS - Intrusion Detection System, sistem za zaznavanje vdorov IEEE - Institute of Electrical and Electronics Engineers IETF - Internet Engineering Task Force IPS - Intrusion Prevention System, sistem za preprečevanje vdorov LAN - Local Area Network, lokalno omrežje MAC - Media Access Control NBA - Network Behavior Analysis NIC - Network Interface Card SBD - Signature Based Detection SPA - Stateful Protocol Analysis SSID - Service Set Identifier, identifikator nabora storitev STA - Station TCP - Transmission Control Protocol, protokol za krmiljenje prenosa TLS - Transport Layer Security UDP - User datagram protocol VLAN - Virtual local area network, navidezno zasebno omrežje WLAN - Wireless Local Area Network, brezžično lokalno računalniško omrežje WEP - Wired Equivalent Privacy, varnostni protokol, ki se uporablja za kodiranje (enkripcijo) podatkov pri prenosu podatkov preko WLAN-a
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 8 1 UVOD Od leta 1997, ko je bil predstavljen standard IEEE 802.11, so se brezžična omrežja zelo razširila. A tudi brezžična omrežja, kot vsak sodoben komunikacijsko informacijski sistem, zahtevajo določen nivo varnosti. Za zagotavljanje varnosti v omrežju uporabljamo različne varnostne sisteme (požarni zid, antivirusni sistemi, avtentikacije ), ki definirajo in ustvarjajo določen nivo varnosti. Na drugi strani zahteve po varnosti postajajo vedno višje in zahtevnejše, zato v določenih primerih uporaba klasičnih sistemov ni več dovolj. Težko bi rekli, da so obstoječi varnostni sistemi problematični. Lahko pa trdimo, da so jih v določenih pogledih prehitele zahteve uporabnikov, ki v okviru zagotavljanja varnosti včasih niso bile tako visoke kot danes. Kar manjka, zagotavljajo sistemi za zaznavanje vdorov. Zaznavanje vdorov je tehnologija, ki marsikomu obljublja boljši vpogled v ranljivost omrežij in sistemov v realnem času, prav tako pa naj bi celo preprečevala vdore. Zaznavanje vdorov je proces nadzorovanja dogodkov v računalniških sistemih ali omrežjih in njihove analize za morebitne incidente, med katere štejemo kršitve ali potencialne možnosti za kršitev varnostnih pravil ali standardnih varnostnih dogodkov. Sistem zaznavanja vdorov (Intrusion detection system - IDS) je programska rešitev, ki avtomatizira proces odkrivanja vdorov. Sistem preprečevanja vdorov (Intrusion Prevention System - IPS) je programska rešitev, ki ima enake zmožnosti kot IDS, poleg tega pa je sposoben preprečiti morebitne incidente. IDS in IPS tehnologije nudijo veliko enakih možnosti in administratorji lahko izključijo funkcije preprečevanja v IPS izdelku, ki nato deluje kot IDS. Zaradi krajšega poimenovanja bom v nadaljevanju uporabil izraz IDPS, ki se bo nanašal tako na IDS kot IPS tehnologije. Izjemni primeri bodo posebej označeni.
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 9 2 SISTEM ZAZNAVANJA VDOROV Zaznavanje vdorov je proces nadzorovanja dogodkov v računalniških sistemih ali omrežjih in njihove analize za morebitne incidente, med katere štejemo kršitve ali potencialne možnosti za kršitev varnostnih pravil ali standardnih varnostnih dogodkov. Vzroki za incidente so različni: - črvi in vohunski programi (malware), - vsiljivci, ki si prilastijo nepooblaščeni dostop do sistema preko interneta, - pooblaščeni uporabniki, ki zlorabijo svoje pravice ali želijo dobiti dodatne, do katerih niso pooblaščeni. Veliko takšnih incidentov je zlonamernih, nekateri pa vendar ne: na primer uporabnik lahko napačno vtipka IP naslov računalnika in se pomotoma skuša povezati v drug sistem, za kar nima pooblastil. Sistem zaznavanja vdorov (Intrusion detection system - IDS) je programska rešitev, ki avtomatizira proces odkrivanja vdorov. Sistem preprečevanja vdorov (Intrusion Prevention System - IPS) je programska rešitev, ki ima enake zmožnosti kot IDS, poleg tega pa je sposoben preprečiti morebitne incidente. IDS in IPS tehnologije nudijo veliko enakih možnosti in administratorji lahko izključijo funkcije preprečevanja v IPS izdelku, ki nato deluje kot IDS. Zaradi krajšega poimenovanja bom v nadaljevanju uporabil izraz IDPS, ki se bo nanašal tako na IDS kot IPS tehnologije. Izjemni primeri bodo posebej označeni.
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 10 2.1 UPORABA IDPS TEHNOLOGIJ IDPS se primarno osredotočajo na identificiranje morebitnih incidentov. Tako IDPS lahko odkrije, kdaj je vsiljivec uspešno ogrozil sistem, ko je izrabil njegove šibke točke. IDPS nato o incidentu poroča varnostnemu administratorju, ki se lahko hitro odzove na incident z ukrepi za minimalizacijo povzročene škode. IDPS ima možnost tudi shranjevanja informacij, ki jih uporabi nadzornik. Mnogo IDPS je možno nastaviti tako, da prepoznajo kršenje varnostnih pravil. Lahko jih nastavimo podobno kot požarni zid in jim tako omogočimo, da identificirajo mrežni promet, ki krši pogoje uporabe ali varnostna pravila določenega podjetja. Nekateri IDPS nadzorujejo tudi prenos datotek in identificirajo sumljive prenose, kot so na primer kopiranje velikih podatkovnih baz na uporabniški prenosni računalnik. Mnogi IDPS so sposobni identificirati brskanje oziroma poizvedovanje, ki lahko vodi neposredno do vdora. Nekatera orodja za vdiranje in škodljive kode, zlasti črvi, najprej izvedejo poizvedovanje preko strežnikov in vrat, da identificirajo tarčo poznejšega napada. IDPS lahko blokira poizvedovanje in obvesti administratorja, ki nato prilagodi varnostni nadzor in tako prepreči podobne incidente. Ker je takšno poizvedovanje preko interneta pogosto, se sistemi za poizvedovanje primarno uporabljajo v zaščitenih lokalnih omrežjih. Poleg zaznavanja incidentov in podpore ukrepov proti incidentom, so podjetja odkrila tudi druge vrste uporabe IDPS, kot so: - Odkrivanje težav z varnostnimi pravili. IDPS omogoča določeno stopnjo nadzora nad kakovostjo implementacije varnostnih pravil, kot je podvajanje požarnega zidu in njihove spremembe, kadar IDPS zazna omrežni promet, ki bi ga moral požarni zid blokirati, vendar zaradi napake v konfiguraciji le-tega ne naredi. - Dokumentiranje obstoječih nevarnosti za podjetje. IDPS shranjuje informacije o nevarnostih, ki jih zazna. Prepoznavanje pogostosti in karakteristik napadov na računalniški sistem podjetja je v pomoč pri
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 11 odločanju o varnostnih ukrepih za zaščito sistema. Ti podatki so tudi v pomoč pri obveščanju zaposlenih o potencialnih nevarnostih za podjetje. - Odvračanje posameznikov od kršenja varnostnih pravil. Če se posamezniki zavedajo, da njihovo početje nadzira IDPS tehnologija, je možnost za namerno kršenje pravil manjša. Zaradi povečane odvisnosti od informacijskih sistemov in pogostosti vdorov v te sisteme ter z njimi povezanih posledic, so IDPS postali nujen dodatek k varnostni infrastrukturi praktično vsakega podjetja. 2.2 KLJUČNE FUNKCIJE IDPS TEHNOLOGIJE Obstaja več tipov IDPS tehnologij, ki se primarno razlikujejo glede na tip dogodkov, ki so jih sposobni zaznati, in metodologijo, ki jo uporabljajo pri identifikaciji incidentov. Poleg nadzora in analize dogodka za identifikacijo neželenih aktivnosti, vsi tipi IDPS tehnologij izvajajo naslednje funkcije: - Zapisovanje informacij, povezanih z znanim dogodkom. Informacije se navadno zapišejo lokalno in jih ne pošiljajo ločenim sistemom, kot so centralni strežniki za beleženje (Logging Servers) in sistemi upravljanja podjetja (Enterprise Management System). - Obveščanje administratorjev o znanih pomembnih dogodkih. To obveščanje, znano kot alarm, poteka preko katere koli izmed naslednjih metod: elektronska pošta, zvočni signal, obvestilo na IDPS uporabniškem vmesniku, sistemske beležke, SNMP past (Single Network Management Protocol trap), uporabniški programi in skripte. Obvestilo običajno vsebuje le osnovne informacije o dogodku. Administrator mora za dodatne informacije preveriti IDPS. - Pisanje poročil. Poročila povzamejo nadzorovane dogodke ali nudijo podrobne informacije o določenih dogodkih.
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 12 Nekateri IDPS so sposobni tudi spreminjati varnostne profile, ko se pojavi nova grožnja. Na primer IDPS lahko zbere natančnejše informacije o določeni seji, ko odkrije škodljivo aktivnost znotraj seje. Lahko tudi spremeni nastavitve pri vključitvi določenih alarmov ali določi prioriteto, dodeljeno za alarme, ki sledijo potem, ko je bila odkrita neka grožnja. IPS tehnologija se razlikuje od IDS tehnologije v eni karakteristiki: IPS tehnologija se lahko odzove na znano grožnjo s poskusom preprečitve uspešnega vdora. Uporabljajo se različne tehnike odzivanja, ki jih lahko razdelimo v naslednje skupine: - IPS sam ustavi napad. Primeri o poteku sledijo: - prekinitev omrežne povezave ali uporabniške seje, ki je v uporabi med napadom, - blokiranje dostopa do tarče (ali drugih možnih tarč) z napadalčevega računa, IP naslova ali drugih atributov napadalca, - blokiranje dostopa do strežnika, storitve, aplikacije ali drugih storitev tarče. - IPS spremeni okolje. IPS lahko spremeni nastavitve drugih varnostnih nadzorov, da zmoti napad. Pogosti primeri so prenastavljanje omrežne naprave (požarnega zidu, usmerjevalnika, stikala), da blokira dostop napadalca ali dostop do tarče, spremeni požarni zid na strežniku, da prepreči prihajajoče napade. Nekateri IPS lahko celo namestijo popravke na strežnik, če ugotovijo, da je le-ta ranljiv. - IPS spremeni vsebino napada. Nekatere IPS tehnologije lahko odstranijo ali zamenjajo škodljive segmente napada in jih tako nevtralizirajo. Preprost primer: IPS odstrani okuženo datoteko, priloženo elektronskemu sporočilu in nato naslovniku dostavi varno elektronsko sporočilo. Bolj kompleksen primer: IPS deluje kot program za anonimno brskanje (proxy), normalizira prihajajočo zahtevo, kar pomeni, da proxy preoblikuje zahteve za dostop tako, da zavrže naslovne informacije. To povzroči, da se napad ovrže kot del procesa.
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 13 Druga skupna lastnost IDPS tehnologij je, da ne morejo zagotavljati popolnoma točne detekcije. Če IDPS neškodljivo aktivnost napačno identificira kot škodljivo, pride do»napačne pozitive«. Če IDPS ne uspe prepoznati škodljive aktivnosti, pride do»napačne negative«. Vseh napačnih pozitiv in negativ ni mogoče preprečiti. V večini primerov se ob zmanjšanju pojavov prvih poveča dejavnost drugih in nasprotno. Mnoga podjetja se odločajo za zmanjševanje napačnih negativ na račun napačnih pozitiv, kar pomeni, da odkrijejo večje število škodljivih dogodkov, vendar to zahteva več analiziranja in razločevanja med napačnimi pozitivami od dejanskega škodljivega dogodka. Prilagoditev nastavitev IDPS za izboljšanje natančnosti detekcije se imenuje uglaševanje (tunning). Večina IDPS tehnologij ponuja tudi možnosti, ki kompenzirajo uporabo običajnih izogibalnih tehnik. Izogibanje pomeni modifikacijo formata ali časa škodljive aktivnosti, tako da se njena pojavnost spremeni, učinek pa ostane isti. Napadalci uporabljajo to tehniko, kadar želijo IDPS preprečiti odkritje njihovega napada. Na primer napadalec lahko na določen način kodira pisavo, da jo bo tarča prepoznala, hkrati pa upa, da je IDPS ne bo. Večina IDPS tehnologij je sposobna obvladati običajne izogibalne tehnike s podvajanjem posebnega procesiranja, ki ga izvajajo tarče. Če IDPS»vidi«aktivnost na isti način kot bi jo videla tarča, bo izogibalna tehnika neuspešna pri prikrivanju napada.
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 14 2.3 OBIČAJNE DETEKCIJSKE METODOLOGIJE IDPS tehnologije uporabljajo veliko metodologij za odkrivanje dogodkov. Glavni razredi detekcijske metodologije so, kot si sledijo: na osnovi podpisov (signaturebased - SBD), na osnovi anomalij (anomaly-based - ABD) in analiza protokola stanja (stateful protocol analysis - SPA). Večina IDPS uporablja več detekcijskih metodologij, ločeno ali integrirano, da zagotavljajo kar najširšo in natančno odkrivanje. 2.3.1 ODKRIVANJE NA OSNOVI PODPISA (Signature Based detection - SBD) Podpis je vzorec, ki ustreza znani grožnji. Odkrivanje na osnovi podpisa je proces primerjanja podpisov z ugotovljenimi dogodki, da bi odkrili možne incidente. Primeri podpisov so: - telnet poskus z uporabniškim imenom»root«, kar je kršitev varnostnih pravil podjetja, - elektronska pošta z zadevo Free pictures in priponko freepics.exe, kar je značilno za malware, - zapis v dnevnik operacijskega sistema (.log) s statusno kodo 645, ki kaže, da je revidiranje strežnika (host's auditing) onemogočeno. SBD je zelo učinkovit pri odkrivanju znanih groženj, vendar pa večinoma neučinkovit pri odkrivanju neznanih groženj ali groženj, prikritih z izogibalno tehniko in drugimi izpeljankami znanih groženj. Na primer, če napadalec spremeni malware iz prejšnjega primera in uporabi datoteko freepics99.exe, ga z iskanjem podpisa freepics.exe ne bo našel. SBD je najpreprostejša metoda, ki le primerja trenutno enoto aktivnosti, kot so dnevniški paketni zapisi (log / packet entries) s seznamom podpisov, pri tem pa uporablja operacijo primerjave vpisa. SBD ne razume protokolov omrežja ali aplikacij in ni sposoben slediti ali razumeti kompleksne komunikacije. Ne more povezati zahteve z ustreznim odzivom, kot na primer: če je na zahtevo mrežnega
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 15 strežnika za prikaz določene strani vrnilo odgovor s kodo 403, to pomeni, da je strežnik zavrnil izpolnitev zahteve. Prav tako nima možnosti pomnjenja prejšnjih zahtev pri procesiranju trenutne zahteve. Ta omejenost SBD onemogoča odkrivanje napadov, ki obsegajo»multiple«dogodke, če noben izmed dogodkov nima jasnega znaka napada. 2.3.2 ODKRIVANJE NA OSNOVI ANOMALIJ (Anomaly Based Detection - ABD) ABD je proces primerjanja definicij, ki sodijo med normalne aktivnosti, z opazovanim dogodkom za odkrivanje ključnih odstopanj. IDPS, ki uporablja ABD, ima profile, ki predstavljajo normalno vedenje stvari, kot so uporabniki, strežnik, omrežne povezave ali aplikacije. Profili se razvijejo z nadzorovanjem karakteristik tipične aktivnosti v določenem času. Profil omrežja lahko na primer pokaže, da mrežna aktivnost sestoji iz uporabe 13 % celotne širine povezave za internet med običajnim delovnim časom. IDPS nato s statistično metodo primerja značilnosti trenutne aktivnosti z mejnimi vrednostmi profila, kot na primer ugotavljanje, kdaj mrežna aktivnost predstavlja občutno večji del celotne širine povezave v primerjavi z običajno in administratorja opozori na anomalijo. Možno je razviti profile za različne vedenjske atribute, kot so število elektronskih sporočil, ki jih pošlje uporabnik, število neuspešnih prijav na strežnik in nivo uporabe procesorja za strežnik v določenem času. Glavna prednost ABD metode je v učinkovitem odkrivanju predhodno neznanih groženj. Recimo, da se računalnik okuži z novim tipom malwarea, ki lahko zavzame moč procesorja, pošilja številna elektronska sporočila, vzpostavi veliko število mrežnih povezav in izvaja druge operacije, ki se občutno razlikujejo od ustaljenih profilov računalnika. Začetni profil je ustvarjen skozi določeno časovno obdobje (nekaj dni, včasih tednov), ki se imenuje tudi»poskusno obdobje«. Profili za ABD so lahko statični ali
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 16 dinamični. Ko je statični profil ustvarjen, se ne spreminja, razen če IDPS specifično zahteva izoblikovanje novega profila. Dinamični profil pa se stalno prilagaja ob odkrivanju novih dogodkov. Ker se sistemi in omrežja sčasoma spremenijo, se spremenijo tudi pripadajoče značilnosti normalnega vedenja; statični profil sčasoma postane netočen, zato se mora periodično regenerirati. Dinamični profili te težave ne poznajo, so pa dovzetni za izogibalne napade. Na primer: napadalec občasno izvede manjše število škodljivih aktivnosti, nato pa frekvenco in količino počasi povečuje. Če je hitrost spremembe dovolj nizka, bo IDPS škodljivo aktivnost razumel kot običajno vedenje in jo vključil v svoj profil. Škodljiva aktivnost se lahko pojavi že, ko IDPS ustvarja svoj začetni profil. Nenamerna vključenost škodljive aktivnosti kot v profil je pogosta težava pri IDPS izdelkih z ABD (v nekaterih primerih lahko administratorji prilagodijo profil, da izključijo aktivnosti profila, za katere vedo, da so škodljive). Druga težava pri ustvarjanju profila je težavno doseganje natančnosti, saj je računska aktivnost včasih zelo kompleksna. Na primer, če se določena vzdrževalna aktivnost, ki izvaja prenose velikih datotek, pojavi le enkrat mesečno, se lahko zgodi, da ni bila vključena v poskusno obdobje. Ko se torej takšno vzdrževanje začne, bo zelo verjetno označeno kot odstopanje od profila in zato sprožilo alarm. IDPS izdelki z ABD pogosto sprožajo lažne pozitive zaradi neškodljivih aktivnosti, ki se občutno razlikujejo od profila, zlasti v raznolikih ali dinamičnih okoljih. Druga pomembna težava pri uporabi ABD tehnik je v tem, da je pri analizi pogosto težko odkriti, zakaj se je določen alarm sprožil, in ugotoviti, ali je bil upravičen ali pa je šlo za napačno pozitivo, in sicer zaradi kompleksnosti dogodkov in števila dogodkov, ki bi lahko sprožili alarm.
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 17 2.3.3 ANALIZA STANJA PROTOKOLA (Stateful protocol analysis - SPA) SPA je proces primerjanja vnaprej določenih profilov splošno sprejetih definicij neškodljivih protokolarnih aktivnosti za vsako stanje protokola z opazovanimi dogodki in odkrivanje odstopanj. Za razliko od ABD, ki uporablja profile strežnika ali omrežja, se SPA zanaša na univerzalne profile, ki jih je razvil izdelovalec in specificirajo, kako se smejo oziroma ne smejo uporabljati določeni protokoli.»stanje«v besedni zvezi»analiza stanja protokola«pomeni, da je IDPS sposoben razumeti in slediti stanju omrežja, prenosa in protokola aplikacije, ki imajo lastnost stanja. Na primer: ko uporabnik začne s FTP sejo, je ta seja na začetku neavtenticirana (unauthenticated). Neavtenticiran uporabnik naj bi v tej fazi izvedel le nekaj ukazov, kot so pogled pomoči ali vpis uporabniškega imena in gesla. Pomemben del razumevanja stanja je primerjanje zahtev z odzivi, tako da, ko se začne avtentikacija FTP-ja, lahko IDPS določi, če je bila le-ta uspešna, ko poišče statusno kodo v pripadajočem odzivu. Ko je uporabnik uspešno avtenticiran, je tudi stanje seje avtenticirano in uporabnik lahko izvede katerega koli izmed ukazov. Izvajanje večine teh ukazov bi bilo v neavtenticiranem stanju sumljivo, medtem ko je v avtenticiranem stanju neškodljivo. SPA lahko identificira nepričakovano zaporedje ukazov, ko je ponavljanje istega ukaza ali izvajanje ukaza, brez predhodnega izvajanja ukaza, od katerega je prvi odvisen. Drugo možnost sledenja stanja pri SPA zadeva protokole, ki izvajajo avtentikacijo. Pri teh lahko IDPS sledi avtentikatorju za vsako sejo in beleži avtentikator, ki se uporablja za sumljive aktivnosti. To je v pomoč pri preiskovanju incidenta. Nekateri IDPS lahko uporabijo informacije avtentikatorja za določanje sprejemljive aktivnosti različno za razrede uporabnikov ali specifične uporabnike. Analiza protokola, ki jo izvede SPA metoda, navadno vključuje preverjanje zmernosti za posamezni ukaz, kot so minimalna in maksimalna dolžina argumenta. Če ukaz kot argument vsebuje uporabniško ime in so uporabniška imena dolga maksimalno 20 znakov, potem je argument dolžine 1.000 znakov
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 18 sumljiv. Če ta velik argument vsebuje binarne podatke, potem je še toliko bolj sumljiv. SPA metoda uporablja modele protokolov, ki so tipično primarno osnovani na protokolarnih standardih izdelovalcev programske opreme in standardih teles (na primer Internet Engineering Task Force [IETF], Request for Comments [RFC]). Modeli protokolov navadno upoštevajo tudi variante posamezne implementacije protokola. Mnogi standardi niso izčrpni in natančni pri razlagi podrobnosti protokola, kar povzroči variacije med implementacijami. Poleg tega mnogi izdelovalci kršijo standarde ali dodajo lastne, zaščitene funkcije, ki v nekaterih primerih zamenjajo standardne. Za takšne lastne protokole podrobni opisi pogosto niso na voljo, kar IDPS tehnologijam otežuje izvajanje popolnih in natančnih analiz. Ker protokole popravljajo in prodajalci spreminjajo njihovo implementacijo, je potrebno IDPS modele protokolov posodabljati, da se te spremembe upoštevajo. Glavna slabost SPA metod je v njihovi veliki porabi sistemskih zmogljivosti, saj gre za kompleksne analize in sodelovanje v izvajanju sledenja stanja za več simultanih sej. Drug večji problem je, da SPA metode ne morejo zaznati napadov, ki ne kršijo karakteristik splošno sprejetega protokola vedenja, kot na primer izvajanje več neškodljivih aktivnosti v kratkem času, ki povzročijo zavrnitev storitve. Nadaljnja težava je, da lahko model protokola, ki ga uporablja IDPS, pride v konflikt z načinom, na katerega je protokol implementiran v določene verzije specifičnih aplikacij in operacijskih sistemov, ali načinom sodelovanja med različnimi implementacijami protokola pri klientu in strežniku.
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 19 3 IDPS tehnologije Obstajajo mnogi različni tipi IDPS tehnologij. Razdeljene so v štiri skupine, glede na tipe dogodkov, ki jih nadzirajo in vrsto namestitve. 3.1 Omrežni IDPS Omrežni IDPS nadzira mrežni promet določenih segmentov omrežja ali naprav in analizira omrežje, prenos in protokole aplikacij, da bi odkril sumljive aktivnosti. Komponente omrežnega IDPS so podobne drugim tipom IDPS tehnologije, razen v senzorjih. Senzorji omrežne IDPS nadzirajo in analizirajo mrežno aktivnost na enem ali več segmentih omrežja. Senzorji so na voljo v dveh formatih: kot naprave, ki so sestavljene iz specializirane strojne in programske opreme, optimizirane za uporabo IDPS senzorjev, ali le kot programski senzorji, ki se inštalirajo na hoste in ustrezajo določenim specifikacijam. Podjetje mora razmisliti o uporabi nadzornega omrežja za svoje omrežne IDPS namestitve, kadar je to možno. Če je IDPS nameščen brez ločenega nadzornega omrežja, mora podjetje preučiti potrebo po uporabi VLAN za zaščito IDPS komunikacij. Poleg izbire primernega omrežja za komponente, se morajo administratorji odločiti še o lokaciji IDPS senzorjev. Senzorje lahko namestijo na enega od dveh možnih načinov: notranji (inline) senzorji so nameščeni tako, da gre mrežni promet, ki ga nadzorujejo, preko njih, medtem ko so pasivni senzorji nameščeni tako, da nadzirajo kopijo dejanskega prometa. Na splošno velja, da mora podjetje namestiti notranje senzorje, če bo uporabljalo preventivne ukrepe, in pasivne senzorje, če teh ukrepov ne bo uporabljalo. Omrežni IDPS omogoča širok izbor varnostnih možnosti. Nekateri izdelki zbirajo podatke o strežniku, kot na primer o operacijskem sistemu, ki ga uporablja in o verzijah aplikacij, ki jih uporablja za komunikacijo preko omrežja. Omrežni IDPS lahko izvajajo obširno zapisovanje podatkov, povezanih z odkritimi dogodki; večina je sposobna zajemanja paketov. Omrežni IDPS navadno nudijo obširne in široke možnosti
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 20 odkrivanja. Večina izdelkov uporablja kombinacijo odkrivanja na osnovi podpisov (SBD), odkrivanje na osnovi anomalij (ABD) in analizo protokola stanja (SPA) za opravljanje natančnih analiz običajnih protokolov. Podjetje mora uporabljati IDPS izdelke, ki omogočajo takšno kombinacijo možnosti odkrivanja, saj kombiniranje poveča natančnost odkrivanja. Podjetje mora prav tako uporabiti omrežni IDPS, ki zna kompenzirati običajne izogibalne tehnike, kar še dodatno poveča natančnost odkrivanja. Omrežni IDPS imajo pomembne omejitve. Ne morejo zaznati napadov znotraj kodiranega mrežnega prometa, zato morajo biti nameščeni na mestih, kjer lahko nadzirajo promet pred kodiranjem, ali za dekodiranjem, ali pa je na končni točki potrebno uporabiti host-based IDPS, ki nadzira nekodirane aktivnosti. Omrežni IDPS pogosto niso zmožni izvajati popolnih analiz pod visoko obremenitvijo, zato morajo podjetja, ki uporabljajo notranje senzorje, izbrati takšne, ki so zmožni prepoznati pogoje visokih obremenitev in lahko posredujejo določen tip prometa brez popolne analize oziroma zavržejo promet z nizko prioriteto ter tako zmanjšajo obremenitev. Druga omejitev omrežnega IDPS je njihova dovzetnost za določene tipe napadov, večinoma v obliki velike količine prometa. Podjetja morajo izbrati izdelke, ki so zasnovani tako, da v primeru napada ne odpovedo. Podjetje mora prav tako zagotoviti, da IP naslovi niso dodeljeni omrežnim vmesnikom za notranje ali pasivne senzorje, ki nadzorujejo omrežje, razen omrežnim vmesnikom, ki se uporabljajo za nadzor prometa in upravljanje IDPS. Omrežni IDPS senzorji nudijo različne preventivne možnosti. Mnogi pasivni senzorji lahko prekinejo in ponovno vzpostavijo TCP seje, vendar ta tehnika pogosto ni dovolj hitra, poleg tega ni uporabna pri ostalih sejah, kot so UDP ali ICMP. Tehnike notranjih senzorjev vključujejo izvajanje notranjega požarnega zidu, omejevanje pasovne širine in spreminjanje škodljivih vsebin; vse tehnike so uporabne v določenih primerih. Pasivni in notranji senzorji lahko prenastavijo druge naprave za varovanje omrežja, lahko tudi zaženejo druge programe ali skripte, s čimer sprožijo dodatne preventivne ukrepe.
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 21 3.2 Analiza vedenja omrežja Sistem za analizo vedenja omrežja (NBA) preverja mrežni promet ali statistiko mrežnega prometa in odkriva neobičajne tokove prometa. NBA rešitve imajo navadno senzorje in konzole, nekateri izdelki pa nudijo tudi nadzorne strežnike. Nekateri senzorji so podobni omrežnim IDPS senzorjem v tem, da preverjajo pakete pri nadzoru mrežne aktivnosti na enem ali več segmentih omrežja. Drugi NBA senzorji ne nadzirajo omrežja neposredno, temveč se zanašajo na informacije o pretoku informacij, ki jih pošilja usmerjevalnik ali druge mrežne naprave. Večino NBA senzorjev je možno namestiti le v pasivnem načinu, z uporabo enake metode povezovanja, kot pri omrežnih IDPS (na primer network tap, switch spanning port). Pasivni senzorji, ki izvajajo neposreden nadzor omrežja, morajo biti nameščeni tako, da lahko nadzirajo ključne lokacije omrežja, kot so stikala med omrežji, in ključne segmente omrežja, kot so DMZ podomrežja. Notranji senzorji so navadno namenjeni zunanji uporabi omrežja, zato so nameščeni v bližini zunanjega požarnega zidu, pogosto pred njim, da omejijo prihajajoče napade, ki bi lahko preobremenili požarni zid. NBA izdelki nudijo različne možnosti varovanja. Nudijo obširne možnosti zbiranja informacij, zbirajo podrobne informacije za vsak opazovani strežnik in stalno nadzirajo mrežno aktivnost ter iščejo spremembe v danih informacijah. NBA tehnologija izvaja obsežne zapise podatkov, povezanih z odkritimi dogodki. Poleg tega nudijo tudi možnost odkrivanja različnih tipov škodljivih aktivnosti, vključno z DoS napadi, preverjanji, črvi, nenačrtovanimi storitvami aplikacij in kršitvami pravil, kot na primer, če klientov sistem omogoča mrežne storitve drugim sistemom. Ker NBA senzorji primarno odkrivajo večja odstopanja od običajnega vedenja, so najbolj natančni pri odkrivanju napadov, ki povzročijo povečano mrežno aktivnost v kratkem času in napadov z neobičajnimi vzorci pretoka. Večina NBA senzorjev lahko rekonstruira serijo opazovanih dogodkov, da bi tako odkrili izvor napada.
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 22 NBA izdelki avtomatsko posodabljajo svoje izhodiščne podatke (baseline). Zato navadno ne zahtevajo veliko nastavljanja in prilagajanja, razen posodabljanja nastavitev požarnega zidu, ki jih podpira večina izdelkov. Nekateri NBA izdelki ponujajo omejeno prilagajanje podpisov, kar je v pomoč pri notranjih senzorjih, saj lahko ti s pomočjo podpisov odkrijejo in blokirajo napade, ki jih požarni zid ali usmerjevalnik ne moreta. Poleg rednega preverjanja nastavitev in prilagoditev za zagotavljanje točnosti podatkov, morajo administratorji poskrbeti, da so vnesene spremembe o strežnikih, kot so nameščeni novi strežniki ali nove storitve. Na splošno ni možno, da bi avtomatsko povezali NBA sisteme s sistemom za nadzor sprememb, vendar lahko administratorji z rednim pregledovanjem podatkov iz teh sistemov in vnašanjem podatkov v NBA preprečijo lažne pozitive. NBA tehnologije imajo pomembne omejitve. Zaradi svojih virov podatkov pri odkrivanju napadov delujejo z zamikom, zlasti takrat, kadar se zanašajo na pretok podatkov iz usmerjevalnikov in drugih mrežnih naprav. Ti podatki so pogosto preneseni v NBA v paketih, vsako minuto ali nekajkrat na uro. Nenaden napad je tako lahko odkrit šele potem, ko je že zmotil ali poškodoval sisteme. Temu zamiku se lahko izognemo s senzorji, ki opravljajo lastno zajemanje paketov in analize, vendar pa to zahteva veliko več sredstev kot analiza podatkov. Poleg tega lahko en senzor analizira pretok podatkov z več omrežij, medtem ko lahko neposredno nadzoruje le nekaj omrežij naenkrat. Zato je za neposredni nadzor podatkov (namesto nadzora pretoka podatkov) potrebno kupiti več oziroma zmogljivejše senzorje. 3.3 Strežniški IDPS Strežniški IDPS nadzoruje karakteristike posameznega strežnika ali delovne postaje in dogodke, ki se odvijajo v okviru tega strežnika ter išče sumljive aktivnosti. Primeri tipov karakteristik, ki jih lahko nadzoruje strežniški IDPS, so promet žičnih in brezžičnih omrežij, sistemski zapisi, procesi v teku, dostop in sprememba datotek, spremembe v nastavitvah sistemskih in aplikacijskih konfiguracijah. Vsak agent nadzoruje aktivnost na posameznem strežniku in če so preventivne možnosti vklopljene, izvaja tudi preventivne ukrepe. Ti agenti
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 23 prenašajo podatke do nadzornih strežnikov. Vsak agent je navadno namenjen varovanju strežnika, namiznega ali prenosnega računalnika ali delovanju aplikacij. Omrežna struktura za namestitev strežniškega IDPS-a je po navadi zelo preprosta. Ker so agenti nameščeni na že obstoječe strežnike v omrežju podjetja, komunikacija v podjetju navadno poteka preko teh omrežij in ne preko nadzornega omrežja. Strežniški IDPS agenti so navadno nameščeni na kritičnih strežnikih, kot so javno dostopni strežniki in strežniki, ki vsebujejo občutljive informacije. Ker pa so agenti na voljo za različne operacijske sisteme strežnikov in računalnikov, kot tudi za specifične aplikacije strežnikov, lahko podjetje namesti agente na večino svojih strežnikov in računalnikov. Podjetje mora upoštevati več pomembnih kriterijev pri odločanju o lokaciji agentov, vključno s potrebo po analizi aktivnosti, ki je ne more nadzorovati noben drug varnostni ukrep, ceno namestitve agentov, vzdrževanja in nadzora, podporo agentov za operacijske sisteme in aplikacije, pomen podatkov vsakega posameznega strežnika ali storitve in sposobnost omrežne infrastrukture za podporo komunikacije med agenti. Večina IDPS agentov spremeni interno strukturo strežnikov, na katerih so nameščeni, s pomočjo shem oziroma s kodnimi sklopi, ki so vrinjeni v obstoječe kode. Čeprav je za strežnik manj intruzivno, kadar se nadzor izvaja brez shem, kar zmanjša možnost, da bi IDPS motil običajno delovanje strežnika, je nadzor brez shem tudi na splošno manj natančen pri odkrivanju groženj in pogosto onemogoča učinkovito izvajanje preventivnih ukrepov. Strežniški IDPS ponuja raznolike možnosti varovanja. Običajno izvajajo obširno zapisovanje podatkov, povezanih z odkritimi dogodki, in omogočajo odkrivanje različnih tipov škodljivih aktivnosti. Tehnike odkrivanja vključujejo analizo kod, analizo mrežnega prometa, filtriranje mrežnega prometa, nadzor datotečnega sistema, analizo zapisov in nadzor konfiguracije omrežja. Strežniški IDPS, ki uporabljajo kombinacijo različnih tehnik odkrivanja, so navadno sposobni doseganja večje natančnosti pri odkrivanju, saj lahko vsaka tehnika nadzoruje različne karakteristike strežnika. Podjetje mora določiti karakteristike, ki jih je potrebno nadzorovati in izbrati IDPS izdelek, ki omogoča zadosten nadzor in analizo teh karakteristik. Strežniški IDPS navadno zahteva precej nastavljanja in
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 24 prilagajanja. Na primer mnogi delujejo tako, da opazujejo aktivnost strežnika in razvijejo osnovo oziroma profil pričakovanega vedenja. Druge je potrebno nastaviti z natančnimi navodili, ki natančno določajo, kako se mora določena aplikacija oziroma strežnik vesti. Ko se okolje le-tega spremeni, mora administrator zagotoviti, da so strežniška IDPS navodila posodobljena, da lahko upoštevajo te spremembe. Strežniški IDPS imajo pomembne omejitve. Nekatere tehnike odkrivanja se izvajajo le občasno, na primer vsako uro ali nekajkrat na dan, ter odkrijejo dogodke, ki so se že zgodili, kar pomeni velik zamik pri identificiranju določenih dogodkov. Poleg tega mnogi strežniški IDPS pošiljajo svoje podatke o alarmih do nadzornih strežnikov v paketih nekajkrat na uro, kar lahko povzroči zamik pri ukrepanju. Ker strežniški IDPS poganjajo agente na strežnikih, ki jih nadzorujejo, lahko vplivajo na njihovo delovanje, saj agenti porabljajo sistemska sredstva. Nameščanje agentov lahko povzroči tudi konflikt z obstoječim varovanjem strežnika, kot je požarni zid ali VPN klient. Nadgrajevanje agentov in nekatere spremembe v konfiguraciji lahko zahtevajo ponovni zagon nadzorovanih strežnikov. Strežniški IDPS ponujajo različne preventivne ukrepe proti vdorom; le-ti se razlikujejo glede na tehniko odkrivanja, ki jo uporablja vsak izdelek. Analiza kode lahko prepreči izvajanje kode; to je učinkovito pri preprečevanju znanih in predhodno neznanih napadov. Analiza mrežnega prometa lahko ustavi dohodni in odhodni mrežni promet, ki vsebuje mrežne, transportne ali aplikacijske napade, napade na protokole brezžične omrežne povezave in uporabo neavtoriziranih aplikacij in protokolov. Filtriranje mrežnega prometa deluje kot strežniški požarni zid in preprečuje neavtoriziran dostop in kršenje sprejetih pravil. Nadzor datotečnega sistema preprečuje dostop, spreminjanje, zamenjavo ali izbris datotek, kar preprečuje namestitev škodljivih aplikacij in druge napade, ki vključujejo neprimeren dostop do datotek. Druge strežniške IDPS tehnike navadno ne podpirajo preventivnih ukrepov, saj identificirajo dogodke šele dolgo potem, ko so se zgodili.
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 25 Nekateri strežniški IDPS ponujajo dodatne možnosti, povezane z odkrivanjem vdorov in preventivo, kot na primer uveljavljanje omejevanja uporabe izmenljivih medijev, odkrivanje vklopov avdio-video naprav, avtomatski dolgoročni hosthardening, nadzorovanje statusa procesov v teku in ponovno zaganjanje neuspešnih procesov ter izvajanje izboljšav mrežnega prometa. Nekatere oblike IDPS so bolj razvite kot druge, saj so v uporabi že mnogo dlje časa. Omrežni IDPS in nekatere oblike strežniških IDPS so na prodaj že več kot 10 let. NBA programi so novejša oblika IDPS, ki je deloma razvita iz produktov, osnovanih za odkrivanje DoS napadov in delno iz produktov, razvitih za priljubljena WLAN omrežja in naraščajoče število groženj za WLAN omrežja in WLAN kliente.
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 26 4 BREZŽIČNI IDPS Brezžični IDPS nadzira brezžični mrežni promet in analizira brezžične mrežne protokole pri odkrivanju sumljivih aktivnosti, ki vključujejo same protokole. To poglavje vključuje poglobljen vpogled o brezžičnih IDPS tehnologijah. 4.1 Pregled brezžičnega omrežja Brezžično omrežje omogoča napravam z možnostmi brezžičnega delovanja uporabo sredstev, ne da bi bile te naprave fizično povezane v omrežje. Te naprave morajo biti le znotraj določenega območja (v dosegu) infrastrukture brezžičnega omrežja. WLAN je skupina brezžičnih mrežnih vozlišč znotraj omejenega prostorskega območja, ki je zmožna izmenjavati podatke preko radijske zveze. WLAN navadno uporabljajo naprave znotraj omejenega dosega, kot je poslovna stavba, in so implementirane kot podaljšek obstoječega žičnega omrežja LAN ter tako omogočajo večjo mobilnost uporabnikov. 4.1.1 WLAN standardi Večina WLAN-ov uporablja IEEE 802.11 družino standardov. Najpogosteje uporabljen WLAN standardi radijskega prenosa so IEEE 802.11b in IEEE 802.11g, ki uporabljajo 2,4-gigaherčni (GHz) pas in IEEE 802.11a, ki uporablja 5-gigaherčni pas. IEEE 802.11a, b, in g uporabljajo varnostne možnosti, ki so znane kot WEP (Wired Equivalent Privacy). Žal ima WEP mnoge težave z varnostjo. Da bi se letem izognili, so ustvarili IEEE 802.11i, ki določa varnostne komponente, ki delujejo v povezavi z IEEE 802.11a, b, g in n. Druge WLAN standarde so ustvarili neprofitni industrijski konzorciji WLAN opreme in izdelovalci programske opreme, imenovani Wi-Fi Alliance. Medtem ko je IEEE izpopolnjeval standard 802.11i, je Alliance iznašla začasno rešitev, imenovano Wi- Fi Protected Access - WPA (varovan brezžični dostop). WPA je izšel v oktobru
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 27 2002 in predstavlja podskupino osnutka IEEE 802.11i zahtev, ki so bile takrat na voljo. WPA nudi močnejšo zaščito WLAN komunikacij kot WEP. Skupaj z ratifikacijo popravka IEEE 802.11i je Wi-Fi Alliance predstavil WPA2, lasten primer za interoperativno opremo, ki ustreza IEEE 802.11i zahtevam. WPA2 nudi močnejšo zaščito, kot WPA ali WEP. 4.1.2 WLAN komponente IEEE 802.11 WLAN ima dve glavni strukturni komponenti: - Station (STA). STA je naprava, brezžična končna točka. Tipični primer STA naprav so prenosni računalniki, PDA, prenosni telefoni in druge elektronske naprave z možnostjo IEEE 802.11. - Access Point (AP). AP logično povezuje STA z distribucijskim sistemom (DS), ki je v podjetju navadno žična infrastruktura. Preko DS lahko STA komunicira z žičnim LAN omrežjem podjetja in zunanjimi omrežji, na primer internetom. Slika 1 kaže povezavo med AP, STA in DS. Slika 1: Povezava med AP, STA in DS
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 28 Nekateri WLAN uporabljajo tudi stikala. Brezžično stikalo je naprava, ki deluje kot posrednik med AP in DS. Namen stikala je pomoč administratorju pri upravljanju z WLAN infrastrukturo. Pri WLAN brez stikala je AP povezan neposredno z DS. IEEE 802.11 standard definira tudi naslednji dve WLAN strukturi: Ad Hoc način. Ta način ne uporablja AP. Ad hoc način, poznan tudi kot P2P način, vključuje dva ali več STA, ki komunicirajo neposredno. Infrastrukturni način. V tem načinu AP brezžično povezuje STA z DS, ki je navadno žično omrežje. Vsak AP in STA na WLAN je mogoče identificirati po njegovem MAC naslovu, ki je unikatna 48-bitna vrednost, ki je dodeljena kartici vmesnika brezžičnega omrežja. Del MAC naslova služi za identifikacijo proizvajalca, ostale številke naslova služijo kot serijska številka proizvajalca. Teoretično bi po MAC naslovu lahko identificirali vsako posamezno brezžično napravo, vendar je dejansko MAC naslov mogoče preprosto ponarediti. Skoraj vsi WLAN-i uporabljajo infrastrukturni način. Vsak AP in WLAN ima dodeljeno ime, ki služi za identifikacijo storitvenega seta (service set identifier - SSID). SSID omogoča STA, da ločijo WLAN-e med seboj. AP izpiše SSID kot navadno besedilo, tako da lahko vsaka poslušalna naprava prepozna SSID posameznega WLAN-a v dosegu. Podjetja imajo lahko več WLAN omrežij ali pa sploh nobenega. Poleg tega so mnoga podjetja v dosegu WLAN-ov drugih podjetij. 4.1.3 Grožnje za WLAN Čeprav se žična in brezžična omrežja soočajo z isto vrsto groženj, se stopnje tveganja za določene nevarnosti razlikujejo. Na primer pri brezžičnih napadih mora napadalec svojo napravo namestiti v bližino brezžičnega omrežja, medtem ko so napadi po žičnih sistemih lahko izvršeni na daljavo, s katere koli lokacije. Vendar
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 29 pa so mnogi WLAN-i nastavljeni tako, da sploh ne zahtevajo avtentikacije ali le šibko obliko, zaradi česar je napadalcem napad močno olajšan. Večina WLAN groženj vključuje napadalca z dostopom do radijske povezave med STA in AP (ali med dvema STA v Ad Hoc načinu). Mnogi napadi temeljijo na napadalčevi sposobnosti prestrezanja mrežne komunikacije ali vstavljanja dodatnih sporočil v njo. To je glavna razlika med varovanjem brezžičnega in žičnega LAN-a: relativna preprostost dostopa in spreminjanja omrežne komunikacije. Pri žičnem LAN-u mora napadalec imeti fizični dostop do LAN omrežja, pri brezžičnem LAN-u mora biti napadalec le znotraj dosega WLAN infrastrukture. 4.2 Tipične komponente Tipične komponente brezžičnega IDPS so enake kot pri omrežnem IDPS: konzole, strežnik baze podatkov, nadzorni strežniki in senzorji. Vse komponente, razen senzorjev, imajo v osnovi enake funkcije pri obeh tipih IDPS. Brezžični senzorji izvajajo isto nalogo kot senzorji mrežnega IDPS, le da delujejo na drugačen način zaradi kompleksnosti nadzora brezžičnih komunikacij. Za razliko od mrežnega IDPS, ki vidi vse pakete na omrežjih, ki jih nadzoruje, brezžični IDPS deluje tako, da zbira vzorce iz prometa. Nadzoruje dva pasova frekvenc (2,4 GHz in 5 GHz) in vsak pas je razdeljen v kanale. Trenutno senzorji ne morejo simultano nadzorovati vsega prometa na pasu; senzor nadzira en kanal naenkrat. Ko je senzor pripravljen na nadzor drugega kanala, mora izklopiti svoj oddajnik (the radio), zamenjati kanal in spet vklopiti oddajnik. Dlje ko je posamezen kanal pod nadzorom, več možnosti je, da bo senzor zgrešil škodljive aktivnosti, ki se odvijajo na drugih kanalih. Da bi se temu izognili, senzorji pogosto menjajo kanale, kar se imenuje pregledovanje kanalov (channel scanning), tako da lahko nadzirajo vsak kanal večkrat na sekundo. Da bi omejili ali izločili pregledovanje kanalov, so na voljo posebni senzorji, ki uporabljajo več oddajnikov
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 30 in zmogljivih anten, s katerimi vsak par oddajnik/antena nadzoruje drug kanal. Zaradi visoke občutljivosti imajo zmogljive antene večji doseg nadzora, kot običajne. Pri nekaterih namestitvah so vzorci pregledovanja pri senzorjih, katerih dosegi se medsebojno prekrivajo, koordinirani tako, da na vsak senzor pride manj kanalov za nadziranje. Brezžični senzorji so na voljo v različnih oblikah: Namenski. Takšni senzorji so naprave, ki izvajajo brezžično IDPS funkcijo, vendar ne prenašajo prometa od izvora do cilja. Namenski senzorji so pogosto popolnoma pasivni in delujejo v načinu nadzorovanja radijske frekvence (RF način) in preverjajo promet brezžičnega omrežja. Nekateri namenski senzorji izvajajo analize prometa, ki ga nadzorujejo, medtem ko drugi senzorji usmerjajo mrežni promet do nadzornega sistema, ki ga nato analizira. Senzor je navadno povezan z žičnim omrežjem (na primer Ethernet kabel med senzorjem in stikalom). Namenski senzorji so navadno namenjeni za enega izmed tipov namestitve: - Fiksni: senzor je nameščen na določeno lokacijo. Takšni senzorji so navadno odvisni od infrastrukture podjetja (elektrika, žično omrežje). Fiksni senzorji so navadno strojna oprema (appliance-based). - Mobilni: senzor je namenjen delovanju v gibanju. Varnostni administrator lahko uporabi mobilni senzor med hojo po stavbi podjetja in odkriva škodljive AP. Mobilni senzorji so lahko strojna oprema ali programska (na primer programi na prenosnikih z brezžičnim NIC, ki omogoča RF nadziranje). Povezani z AP. Več proizvajalcev je svojim AP dodalo možnost IDPS. Povezani AP (Bundled AP) navadno omogočajo manj natančno odkrivanje kot namenski senzorji, saj mora AP razdeliti čas, ko dodeljuje dostop do mreže in nadzoruje več kanalov ali pasov in odkriva škodljive aktivnosti. Če mora IDPS nadzorovati le en pas in kanal, je takšna povezana rešitev ustrezna, saj nudi varovanje in dostop do omrežja. Če pa mora IDPS nadzorovati več pasov ali kanalov, potem mora senzor
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 31 opravljati pregledovanje kanalov, kar moti AP funkcije senzorja, saj ta začasno ni na voljo svojemu primarnemu pasu in kanalu. Povezani z brezžičnim stikalom. Brezžično stikalo je namenjeno za pomoč administratorju pri upravljanju in nadzorovanju brezžičnih naprav; nekatera stikala nudijo določene brezžične IDPS možnosti med svojimi sekundarnimi funkcijami. Brezžična stikala ne omogočajo enako natančnih možnosti odkrivanja, kot povezani AP ali namenski senzorji. Ker se namenski senzorji lahko posvečajo le odkrivanju in ne prenašajo brezžičnega prometa, so njihove možnosti odkrivanja običajno močnejše kot pri brezžičnih senzorjih, povezanih z AP, ali brezžičnih stikalih. Vendar pa so namenski senzorji dražji pri nakupu, namestitvi in vzdrževanju v primerjavi s povezanimi senzorji, saj je povezane senzorje mogoče namestiti na obstoječo strojno opremo, medtem ko namenski senzorji zahtevajo dodatno strojno in programsko opremo. Podjetja morajo pri izbiri brezžičnih IDPS senzorjev upoštevati tako varnost kot stroške. Nekateri proizvajalci ponujajo tudi programsko opremo za strežnike, brezžične IDPS senzorje, ki jo lahko namestimo na STA (na primer prenosnike). Program zaznava napade v dometu STA, pa tudi napačno konfiguracijo STA, ter o tem poroča nadzornemu strežniku. Program lahko tudi uveljavi varnostne predpise svojemu STA, kot na primer omejevanje dostopa do brezžičnega vmesnika. 4.3 Struktura omrežja Brezžične IDPS komponente so navadno povezane med seboj preko žičnega omrežja. Pri mrežnih IDPS je za komunikacijo brezžičnih IDPS komponent mogoče uporabiti ločeno nadzorno omrežje ali pa standardno omrežje podjetja.
KOVAČ, Marko. WIDS : diplomska naloga. Ljubljana, ŠC PET, VSŠ, 2008 32 Ker bi morala biti žično in brezžično omrežje že predhodno strogo in nadzorovano ločena, je za brezžične IDPS komponente primerna uporaba tako nadzornega kot standardnega omrežja. Poleg tega se nekateri brezžični IDPS senzorji (zlasti mobilni) uporabljajo samostojno in ne potrebujejo žično mrežne povezanosti. Slika 2: Arhitektura WIDS 4.4 Lokacije senzorjev Izbira lokacije senzorja za brezžično IDPS namestitev je v osnovi drugačen problem, kot izbira lokacije za druge tipe IDPS senzorjev. Če podjetje uporablja WLAN, morajo biti brezžični senzorji nameščeni tako, da lahko nadzirajo RF domet WLAN-a (tako za AP kot STA), kar pogosto vključuje mobilne komponente, kot so prenosniki in PDA. Mnoga podjetja želijo namestiti senzorje, da bi nadzorovali fizično področje svojih prostorov, kjer naj ne bi bilo WLAN aktivnosti, hkrati pa tudi kanale in pasove, ki jih WLAN podjetja ne uporabljajo, kot način