Monitoring i bezpieczenstwo sieci.pdf

(224 KB) Pobierz
Monitoring
i bezpieczeñstwo sieci
T³umaczenie: Wojciech Moch
ISBN: 978-83-246-2552-9
Tytu³ orygina³u: Security Monitoring
Format: 168 × 237, stron: 224
Poznaj najskuteczniejsze metody obrony sieci korporacyjnych
Jak stworzyæ profesjonalny system kontroli zabezpieczeñ?
Jak utrzymaæ solidne Ÿród³a danych?
Jak okreœliæ rodzaje zdarzeñ niezbêdne do wykrywania naruszeñ regu³?
Wszêdobylskoœæ i niesamowite mo¿liwoœci wspó³czesnych z³oœliwych programów
sprawiaj¹, ¿e nikt dziœ nie mo¿e polegaæ wy³¹cznie na oprogramowaniu antywirusowym
– nawet jeœli jest ono wci¹¿ aktualizowane. Z powodu ci¹gle zmieniaj¹cego siê zagro¿enia
dla systemu informatycznego organizacji niezbêdne sta³o siê aktywne monitorowanie
sieci. Autorzy tej ksi¹¿ki proponuj¹ Ci taki w³aœnie nowoczesny, skuteczny system
zabezpieczeñ. Jeœli spróbujesz wdro¿yæ u siebie kilka z ich zaleceñ, w znacznym
stopniu podniesiesz bezpieczeñstwo sieci korporacyjnej. Jeœli natomiast zrealizujesz
wszystkie zalecenia, masz szansê stworzyæ jeden z najlepszych na œwiecie systemów
monitoruj¹cych! Zatem do dzie³a!
Ksi¹¿ka „Monitoring i bezpieczeñstwo sieci” zawiera zestaw wyj¹tkowych metod,
s³u¿¹cych do wykrywania incydentów w sieciach globalnych. Autorzy – eksperci do
spraw bezpieczeñstwa – najpierw podaj¹ elementy niezbêdne do prowadzenia
skutecznego monitorowania sieci, a nastêpnie pokazuj¹, jak stworzyæ ukierunkowane
strategie oraz wdro¿yæ pragmatyczne techniki ochrony. Z tego podrêcznika dowiesz siê,
w jaki sposób definiowaæ regu³y dotycz¹ce bezpieczeñstwa, regulacji i kryteriów
monitorowania. Nauczysz siê zbieraæ informacje o infrastrukturze poddawanej obserwacji,
wybieraæ cele i Ÿród³a monitorowania. Dziêki temu samodzielnie stworzysz niezawodny
system kontroli zabezpieczeñ!
Implementowanie regu³ monitorowania
Rodzaje regu³
Taksonomia sieci
Wybieranie celów monitorowania
Wybieranie Ÿróde³ zdarzeñ
Automatyczne monitorowanie systemów
Telemetria sieci
Zarz¹dzanie adresami IP
Zabezpiecz sieæ – wykorzystaj najskuteczniejsze,
nowoczesne metody monitorowania systemów informatycznych!
944960537.005.png 944960537.006.png 944960537.007.png 944960537.008.png
Spis treci
Wstp .............................................................................................................................5
1.
Zaczynamy ....................................................................................................................11
Szybko zmieniajcy si ksztat zagroe
13
Po co monitorowa?
14
Wyzwanie monitoringu
16
Zlecanie monitorowania zabezpiecze
18
Monitorowanie w celu minimalizacji ryzyka
18
Monitorowanie sterowane reguami
18
Czy to zadziaa w moim przypadku?
19
Produkty komercyjne a produkty o otwartych ródach
19
Firma Blanco Wireless
19
2.
Implementowanie regu monitorowania ................................................................... 21
Monitorowanie czarnej listy
23
Monitorowanie anomalii
25
Monitorowanie regu
26
Monitorowanie z wykorzystaniem zdefiniowanych regu
27
Rodzaje regu
28
Reguy dla firmy Blanco Wireless
37
Wnioski
40
3.
Poznaj swoj sie ......................................................................................................... 41
Taksonomia sieci
41
Telemetria sieci
47
Sie firmy Blanco Wireless
63
Wnioski
65
4.
Wybieranie celów monitorowania ............................................................................. 67
Metody wybierania celów
68
Praktyczne porady przy wybieraniu celów
81
3
944960537.001.png
 
Zalecane cele monitorowania
82
Wybieranie komponentów w ramach celów monitorowania
83
Blanco Wireless: Wybieranie celów monitorowania
86
Wnioski
88
5.
Wybieranie róde zdarze .........................................................................................89
Zadanie róda danych
89
Wybieranie róde zdarze dla firmy Blanco Wireless
102
Wnioski
103
6.
Dostosowywanie ....................................................................................................... 105
Sieciowe systemy wykrywania wama
105
Wdraanie systemu NIDS
111
Protokoy systemowe
124
NetFlow
141
róda alarmów bezpieczestwa w firmie Blanco Wireless
145
Wnioski
148
7.
Utrzymywanie niezawodnych róde danych .......................................................... 149
Utrzymywanie konfiguracji urzdze
150
Monitorowanie monitorujcych
155
Monitorowanie baz danych
165
Automatyczne monitorowanie systemów
169
Monitorowanie systemów w firmie Blanco Wireless
173
Wnioski
180
8.
Konkluzja: nie tra kontaktu z rzeczywistoci ........................................................181
Co moe si nie uda?
182
Studium przypadków
188
Opowieci zespoów CSIRT
194
Wymagania minimalne
195
Wnioski
201
A
Szczegóowa konfiguracja narzdzi OSU flow-tools ..............................................203
Konfigurowanie serwera
203
Konfigurowanie eksportu danych NetFlow na routerze
205
B
Szablon umowy o wiadczenie usug ....................................................................... 207
Umowa o wiadczenie usug: dzia sieci i dzia bezpieczestwa
207
C
Obliczanie dostpnoci .............................................................................................. 211
Skorowidz .................................................................................................................. 215
4
Spis treci
ROZDZIA 1.
Zaczynamy
By stycze 2003 roku. Praca na stanowisku inyniera sieci obsugujcego sieci centrów da-
nych w Cisco nie moga by lepsza. 21 stycznia mój zespó witowa wyczenie przez wice-
prezesa ostatniej centrali typu Avaya PBX, dziki czemu poczenia telefoniczne kampusu
Research Triangle Park (TRP) byy w 100 procentach obsugiwane w technologii VoIP. Wa-
nie zakoczylimy unowoczenianie okablowania i sprztu sieci WAN i mielimy nadziej
na zwikszenie dostpnoci naszych zdalnych centrów. Niestety 25 stycznia (to bya sobota)
robak SQL Slammer poczyni spustoszenie w sieciach caego wiata. Robak ten, znany równie
pod nazw Sapphire, atakowa niezabezpieczone serwery MS-SQL, wykorzystujc do tego
zoliwy i samorozprzestrzeniajcy si kod. Specjalici od zabezpiecze z pewnoci doskonale
pamitaj ten dzie. Technika rozprzestrzeniania si robaka moga tworzy efekt podobny do
ataku odmowy dostpu do usug (ang. denial-of-service — DoS), co powodowao wyczanie
kolejnych sieci.
Jedyn cech odróniajc tego robaka od normalnej komunikacji z serwerem SQL bya dua
liczba pakietów UDP o wielkoci 376 bajtów kierowanych na port 1434 1 .
Dostawcy usug internetowych zaczli blokowa ruch sieciowy za pomoc filtrów wejcia-wyj-
cia, ale byo ju za póno, eby uchroni swoje systemy przed infekcj. Chodzio tu raczej
o zabezpieczenie podstawowych struktur internetu.
Robak Sapphire by najszybciej rozprzestrzeniajcym si robakiem w historii. Od momentu roz-
poczcia dziaania w internecie podwaja swój rozmiar co 8,5 sekundy. W cigu 10 minut zainfe-
kowa ponad 90 procent komputerów podatnych na jego atak 2 .
Szybko replikacji robaka i liczba zainfekowanych systemów oraz sieci korporacyjnych szyb-
ko spowodowaa zapenienie linii komunikacyjnych kolejnymi próbami infekcji systemów.
Administratorzy sieci obsugujcy cza WAN w USA dowiedzieli si o problemie dopiero
wtedy, gdy ich pagery zaczy byska jak lampki boonarodzeniowe, przekazujc alarmy
o zwikszonym obcieniu sieci. Na zakoczenie otrzymywali tylko informacj protokou
SNMP — cze wyczone (ang. link down ). Pocztkowo sdzilimy, e problem zwizany jest
z kart sieciow D3, któr niedawno wymienilimy w jednym z naszych routerów. Jednak
w momencie gdy ten sam problem zaczy zgasza cza innych biur regionalnych, zorien-
towalimy si, e jest to co znacznie powaniejszego.
1
http://www.cert.org/advisories/CA-2003-04.html
2
http://www.caida.org/publications/papers/2003/sapphire/sapphire.html
11
944960537.002.png 944960537.003.png
 
Dowiadczalimy ju problemów z sieci powodowanych przez infekcje wirusami, takimi jak
Code Red (atakowa on podane serwery WWW Microsoft IIS), ale aden z nich nie spowo-
dowa nawet czci chaosu, jaki wywoa Slammer. Kilka zaraonych nim komputerów byo
w stanie wygenerowa ruch sieciowy zdolny przeciy cza sieci WAN i doprowadzi do
powanych problemów z cznoci z oddziaami na caym wiecie. Ostatecznie udao si
stwierdzi, e wikszo zaraonych systemów to nieaktualizowane serwery laboratoryjne.
Ich identyfikowanie i migrowanie byo naprawd zoonym zadaniem:
Wdroonych zostao zbyt mao systemów wykrywania wama do sieci (ang. network
intrusion detection systems — NIDS), a na dodatek nikt nie by odpowiedzialny za przegl-
danie i reagowanie na alarmy zgaszane przez zainfekowane systemy.
Systemy telemetrii sieciowej (takie jak NetFlow) i wykrywania anomalii nie byy wystar-
czajce, aby zidentyfikowa zainfekowane systemy.
Nie byo moliwoci ustalania priorytetów zgosze. Mielimy do dyspozycji tylko adre-
sy IP i nazwy DNS zainfekowanych komputerów. Niestety zabrako informacji kontek-
stowych, takich jak „serwer obsugi danych”, „komputer uytkownika w sieci LAN” albo
„serwer laboratoryjny”.
W cigu kolejnych 48 godzin zespoy specjalistów od sieci identyfikoway zainfekowane sys-
temy, korzystajc z powolnego procesu polegajcego na rozsyaniu zalecanych list kontroli
dostpu (ang. access control list — ACL) do wszystkich routerów WAN 3 , które miay blokowa
pakiety. Wszystkie trafienia zasady kontroli dostpu (ang. access control entry — ACE) bloku-
jcej pakiety UDP na porcie 1434 oznaczay zainfekowany komputer. Nie moglimy jednak
zidentyfikowa adresów IP komputerów tworzcych takie trafienia, poniewa dodanie opcji
„log” do tej reguy powodowao lawinowy wzrost wykorzystania procesorów w routerach
i drastycznie zmniejszao wydajno pracy sieci. Kolejny krok polega na analizowaniu wy-
korzystania portów na przecznikach sieciowych i wyszukiwaniu w ten sposób zainfekowa-
nych komputerów, a nastpnie blokowaniu im feralnego portu. Ten proces wymaga sporej
liczby ludzi i oczywicie czasu.
Jeeli zaimplementowalibymy cho kilka zabezpiecze omawianych w niniejszej ksice, na-
sze zespoy techników mogyby znacznie szybciej ograniczy moliwoci dziaania robaka.
Waciwe wdroenie systemów NIDS pozwolioby na natychmiastowe uzyskanie adresów IP
zainfekowanych systemów i odpowiedni ich segregacj w zalenoci od przynalenoci do
poszczególnych sieci (serwery centrów danych, serwery laboratoryjne, komputery biurkowe
— bdziemy o tym mówi w rozdziale 6.). Jeszcze przed wykorzystaniem sygnatur systemów
NIDS moglibymy uy systemu NetFlow, aby wykry zainfekowane komputery za pomoc
wykrywanych wzorców ruchu sieciowego, o których bdziemy mówi w rozdziale 3. Na pod-
stawie tych informacji mona przygotowa dobrze zaplanowan, prioretyzowan odpowied
na zagroenie, a na zainfekowane systemy mona by naoy odpowiednie ograniczenia. Sa-
ma informacja o adresach IP z systemu NetFlow pozwoliaby ma szybk, manualn inspekcj
tablic ARP i powiza adresów MAC z adresami IP w routerach. Dziki tym informacjom
administratorzy mogliby szybko wyczy odpowiednie porty w przecznikach sieciowych
i zablokowa moliwoci rozprzestrzeniania si robaka.
W tej ksice opisujemy infrastruktur oraz narzdzia, które bardzo pomogyby nam kilka
miesicy póniej, gdy zaatakowa robak Nachi. Niestety nie bylimy w stanie tego przewidzie
i Nachi spowodowa te same zniszczenia i by ograniczany w tym samym manualnym proce-
sie co robak Slammer.
3
http://www.cisco.com/warp/public/707/cisco-sn-20030125-worm.shtml
12
Rozdzia 1. Zaczynamy
944960537.004.png
 
Zgłoś jeśli naruszono regulamin