Riadenie bezpečnosti informačných systémov (autor: Peter Kolcun, SP2, SP3)

Todo

Task ID	Status	Start Date	Due Date	Task
PEKO.1	In progres	09.10.2007	29.10.2007	Naštudovať základy IPfix a detailne zloženie TCP a UDP paketov
PEKO.2	Pending	29.10.2007	14.11.2007	Návrh systému pre obranu IS pred DDOS/DOS útokom
PEKO.2	Pending	15.11.2007	20.12.2007	Implementácia návrhu (vytvorenie prototypu alebo funkčnej aplikácie)

Úvod

Predmetom tohto Semestrálneho projektu je vývoj systému na riadenie bezpečnosti informačných systémov(IS). Projekt nadväzuje na Semestrálny projekt 1(sp1), ktorý mal rovnaký názov. V sp1 sa zistilo, že pravdepodobne najväčšou hrozbou súčasných IS sú DOS a DDOS útoky a zamerali sa na štúdium týchto útokov. V tomto semestri sme sa zamerali na vývoj konkrétneho systému na ochranu proti týmto systémom.

Bližšia špecifikácia zadania

Zistiť či začneme vyvíjať systém od začiatku alebo je niečo, z čoho by sa dalo vychádzať a pokračovať v ňom. Ak sa nájde niečo, čoho sa oplatí pokračovať preštudovať tento systém a navrhnúť rozšírenie. Ak sa nenájde, tak navrhnúť novú koncepciu, ako tento systém postaviť.

Bližšia špecifikácia zadania

Po preštudovaní diplomovej práce Ing. Rojáka som uvážil, že začínať robiť systém na detekciu prienikov je zbytočné objavovanie Ameriky.

Existujúci, ktorý je implementovaní v jazyku JAVA, systém dokáže detekovať prienik na princípe "nenormálnej" a "normálnej" aktivity v sieti. To zisťuje porovnaním aktuálnych hodnôt s "normálnymi", ktoré sú uložene v databáze. Údaje hodnôt aktuálnych aj uložených sú v súlade s IPFIX. Merajú sa pomocou BEEM – (BasicmEter Exporting and Measuring process)a zbierajú pomocou JXColl – (Java XML Collector).

Kontrolujú sa iba tieto polia nie všetky položky čo dokáže Colector zistiť:

• observationPointID – identifikátor meracieho bodu, čiže miesta odkiaľ budeme čerpať informácie, takýchto meracích bodov môže byť v architektúre IPFIX viacero

• sourceIPv4Address – zdrojová IP adresa paketov zadelených v toku

• destinationIPv4Address – cieľová IP adresa paketov zadelených v toku

• totalLengthIPv4 – veľkostť IP paketu

• sourceTransportPort – zdrojový port paketov zadelených v toku

• destinationTransportPort – cieľový port paketov zadelených v toku

• icmpTypeIPv4 – typ ICMP správy

• icmpCodeIPv4 – kód ICMP správy

• flowStartNanoseconds – čas začiatku toku v nanosekundách, čas je udávaný ako počet nanosekúnd uplynutých od 1.1. 1970

• flowEndNanoseconds – čas ukončenia toku v nanosekundách, čas je udávaný ako počet nanosekúnd uplynutých od 1.1. 1970

• octetTotalCount – množstvo prichádzajúcich bajtov pre daný tok na danom meracom bode, od (re)inicializácie meracieho procesu

• packetTotalCount – množstvo prichádzajúcich paketov pre daný tok na danom meracom bode od (re)inicializácie meracieho procesu

• tcpSynTotalCount – množstvo paketov pre konkrétny tok, ktoré majú nastavenú vlajku TCP „Synchronize sequence numbers“ (SYN)

• tcpFinTotalCoun – množstvo paketov pre konkrétny tok, ktoré majú nastavenú vlajku TCP „No more data from sender“ (FIN)

• tcpRstTotalCount – množstvo paketov pre konkrétny tok, ktoré majú nastavenú vlajku TCP „Reset the connection“ (RST)

• tcpAckTotalCount – mno6stvo paketov pre konkrétny tok, ktoré majú nastavenú vlajku TCP „Acknowledgment field significant“ (ACK)

Tento systém sa vie učiť podľa záznamov "normálnej" premávky minimálne však z 1 týždňa. Podľa tohto si určí "normálne" hodnoty. Systém poskytuje grafickú reprezentáciu v podobe grafu a ako reakciu na prípadný nesúlad s "normálnou" premávkou vyhodí varovné okienko s výkričníkom.

Viac diplomovka od už Ing. Rojak

Ako ďalej

Tento systém sa dá rozšíriť dvoma možnosťami:

• Doplniť konkrétne zásahy do prevádzky siete pre dané akcie

• Doplniť rozoznávanie útokov na základe signatúr útokov

Po zvážení mojich schopnosti a znalosti a po konzultácii sme sa rozhodli systém doplniť detekciou útokov na základe signatúr. Za vzor sme zvolili systém Snort, ktorý je voľne dostupný a modifikovateľný. Avšak vrámci laboratória sa vyvíja QoS systém na báze IPfix, ktorého súčasti využíva aj systém, ktorý ideme rozšíriť. Vzhľadom na túto skutočnosť je nutné zosúladiť parametre, ktoré požíva Snort s parametrami, ktoré používa a vie exportovať systém na báze IPfix. Popis polí snort signatúr a mapovanie na IPfix nájdete tu Polia signatúr.

Analýza súčastného stavu

Keď že veľká časť semestra bola venovaná štúdiu existujúcich riešení a hľadaní IPfix ekvivalentov k snort signatúram, vývoj aplikácie sa zastavil na bode existencie štruktúry pre uloženie pravidla. To bolo spôsobené aj neočakávanou náročnosťou syntaxe a sémantiky pravidiel. Bolí vytvorené triedy pre uchovanie a spracovanie hlavičky pravidiel a jednotlivých parametrov, ktoré nebolo možné spracovať jednoduchými typmi. Nie všetky triedy sú otestované a dve z nich je nutné ešte mierne dopracovať, doplniť metódy na jednoduchšie a komplexnejšie používanie.

Počas práce sa vyskytli nasledovné problémy:

• Snort používa na detekciu aj údaje z dátovej časti paketu, čo je proti stratégií IPfix (''zatiaľ nevyriešený'').

• Nemožnosť priradiť všetkým parametrom Snortu reprezentujúce údaje získane z hlavičiek protokolov ekvivalenty IPfix (''zatiaľ nevyriešený, viď tabuľku'').

• Neočakávaná časová a komplexná náročnosť implementácie parametrov Snortu a vzájomných súvislostí (ako napr. globálne premenné, špecifikácia, ktoré súbory sa kedy majú použiť)

• Pomerne stručne a nejednoznačne napísaná dokumentácia k Snortu.

Návrh riešenia

V budúcom semestri(alebo viacerých) bude možné pokračovať v začatej práci. Primárne sú tieto úlohy:

• Dokončiť a odladiť súbor tried na ukladanie Snort pravidiel vytvorení v tomto semestri.

• Doštudovať a implementovať spracovávanie konfiguračných súborov Snortu, premenných a konštánt.

• Implementovať modul na syntaktickú analýzu Snort pravidiel a ich uchovanie pomocou pripravených tried.

• Implementovať modul na získavanie dát od meracej sústavy IPfix a ich porovnávanie s uloženými signatúrami.

• Vybrať správnu skupinu pravidiel.

Záver

Otázka bezpečnosti IS je v súčasne dobe veľmi dôležitá, vzhľadom na to, že väčšina údajov (osobných/neosobných, dôležitých/menej dôležitých) je uchovávaná a sprístupňovaná prostredníctvom rôznych IS. Ich patričná ochrana je preto veľmi dôležitá.

Pre implementovanie navrhovaných rozšírení bude samozrejme nutné ďalšie teoretické vzdelávanie sa v problematike počítačových sietí a spôsoboch a možnostiach ich konfigurácie a riadenie za behu bez ovplyvnenie legitímnej prevácky. Ak sa systém podarí dopracovať do konečnej podoby, bude nevyhnutné vytvoriť testovaciu zostavu na jeho odskúšanie za bezpečných podmienok.

Použité zdroje

[1] http://www.snort.org

[2] ing. Roják Diplomová práca TUKE FIE 2007

[3] IPfix dokumentácia

-- PeterKolcun - 22 Oct 2007