Cryptography and Cryptography and Network SecurityNetwork Security

ChapterChapter 2020Fifth EditionFifth Edition

by William Stallingsby William Stallings

ChapterChapter 2020–– IntrudersIntruders

They agreed that Graham should set the test for They agreed that Graham should set the test for Charles Charles MabledeneMabledene. It was neither more nor less . It was neither more nor less than that Dragon should get Stern's code. If he than that Dragon should get Stern's code. If he had the 'in' at had the 'in' at UttingUtting which he claimed to have which he claimed to have this should be possible, only loyalty to Moscow this should be possible, only loyalty to Moscow Centre would prevent it. If he got the key to the Centre would prevent it. If he got the key to the code he would prove his loyalty to London code he would prove his loyalty to London Central beyond a doubt.Central beyond a doubt.——Talking to Strange Men, Talking to Strange Men, Ruth RendellRuth Rendell

ΕισβολειςΕισβολεις ((Intruders)Intruders)••

ΕναΕνα

σημαντικοσημαντικο

θεμαθεμα

γιαγια

τατα

δικτυακαδικτυακα

συστηματασυστηματα

ειναιειναι

ηη

εχθρικηεχθρικη

ήή

ανεπιθυμητηανεπιθυμητη

προσβασηπροσβαση

••

ΕιτεΕιτε

μεσωμεσω

δικτυουδικτυου, , ειτεειτε

τοπικατοπικα

••

ΜπορουμεΜπορουμε

νανα

καταταξουμεκαταταξουμε

τουςτους

ΙΙntrudersntruders

στιςστις

εξηςεξης κατηγοριεςκατηγοριες::

–

Mεταμφιεσμενος

(Masquerader): Ενα

άτομο

που

δεν

ειναι εξουσιοδοτημενο

να

χρησιμοποιησει

τον

υπολογιστη

και

διαπερνα

τον

ελεγχο

προσβασης

του

συστηματος

για

να

εκμεταλλευτει

το λογαρισμο

ενος

νομιμου

χρηστη. Είναι

συνηθως

outsider.

–

Παρανομος

(Misfeasor): Eνας

νομιμος

χρηστης

που

προσπελαυνει δεδομενα, προγραμματα

ή

πορους

που

δεν

ειναι

εξουσιοδοτημενος

να

προσπελασει

ή

ειναι

εξουσιοδοτημενος

για

αυτην

την

προσβαση, αλλα

καταχραται

τα

προνομια

του. Eιναι

συνηθως

insider.

–

Κρυφος

Χρηστης

(Clandestine user): Ενα

ατομο

που

παιρνει ελεγχο

του

συστηματος

και

τον

χρησιμοποιει

για

να

αποφυγει

ή

να

καταστειλει

τον

ελεγχο

προσβασης. Mπορει

να

ειναι

είτε

insider, είτε outsider.

IntrudersIntruders••

H H σοβαροτητασοβαροτητα

τηςτης

απειληςαπειλης

αποαπο

ενανεναν

intruder intruder

ποικιλειποικιλει..––

BenignBenign

((καλοηθηςκαλοηθης)): : εξερευναεξερευνα, , ωστοσοωστοσο

ξοδευειξοδευει

πορουςπορους

τουτου

συστηματοςσυστηματος––

Serious (Serious (σοβαρησοβαρη): ): προσπεκλαυνειπροσπεκλαυνει

ήή//καικαι

τροποποιειτροποποιει

δεδομεναδεδομενα, , διαταρασσουνδιαταρασσουν

τοτο

συστημασυστημα••

ΗΗ

υπαρξηυπαρξη

τωντων

intruders intruders έχειέχει

οδηγησειοδηγησει

στηνστην

αναπτυξηαναπτυξη

τωντων

CERTsCERTs

(Computer Emergency (Computer Emergency Response TeamResponse Teamss))

••

ΟιΟι

τεχνικεςτεχνικες

τωντων

intruder & intruder & καικαι

τατα

προτυπαπροτυπα συμπεριφοραςσυμπεριφορας

τουςτους

σταθερασταθερα

αλλαζουναλλαζουν, , εχουνεχουν

ομωςομως

καποιακαποια

κοινακοινα

χαρακτηριστικαχαρακτηριστικα

ΠαραδείγματαΠαραδείγματα ΕισβοληςΕισβολης

((Examples of IntrusionExamples of Intrusion))••

remote root compromiseremote root compromise

••

web server defacementweb server defacement••

guessing / cracking passwordsguessing / cracking passwords

••

copying viewing sensitive data / databasescopying viewing sensitive data / databases••

running a packet running a packet sniffersniffer

••

distributing pirated softwaredistributing pirated software••

using an unsecured modem to access netusing an unsecured modem to access net

••

impersonating a user to reset passwordimpersonating a user to reset password••

using an unattended workstationusing an unattended workstation

HackersHackers••

υποκινούνταιυποκινούνται

απόαπό

συγκίνησησυγκίνηση

τηςτης

πρόσβασηςπρόσβασης

καικαι

τουτου

κυρουςκυρους––

ΣτηνΣτην

κοινοτητακοινοτητα

τουτου

hacking hacking επικρατειεπικρατει

απολυτηαπολυτη

αξιοκρατιααξιοκρατια

––

ΤοΤο

κυροςκυρος

καθοριζεταικαθοριζεται

αποαπο

τοτο

επιπεδοεπιπεδο

ικανοτηταςικανοτητας

τουτου

καθενοςκαθενος••

ΚαλοηθειςΚαλοηθεις

intruders intruders μπορειμπορει

νανα

ειναιειναι

ανεκτοιανεκτοι

––

ΚαταναλωνουνΚαταναλωνουν

πορουςπορους

καικαι

μπορειμπορει

νανα

υποβαθμισουνυποβαθμισουν

τηντην συμπερφορασυμπερφορα

τουτου

συστηματοςσυστηματος

––

ΔενΔεν

μπορουμεμπορουμε

νανα

ξερουμεξερουμε

αποαπο

τηντην

αρχηαρχη

αναν

ειναιειναι

καλοηθειςκαλοηθεις

ήή κακοηθειςκακοηθεις

••

ΤαΤα

IDS / IPS / IDS / IPS / VPNsVPNs

μπορουνμπορουν

νανα

βοηθησουνβοηθησουν••

ΗΗ

επαγρυπνησηεπαγρυπνηση

πουπου

πρεπειπρεπει

νανα

υπαρχειυπαρχει

κατακατα

παρεισακτωνπαρεισακτων

οδηγησεοδηγησε

στηνστην

αναπτυξηαναπτυξη

τωντων

CERTsCERTs––

ΣυλλεγουνΣυλλεγουν

καικαι

διαδιδουνδιαδιδουν

πληροφοριαπληροφορια

τρωσιμοτηταςτρωσιμοτητας

τουτου

σθυστηματοςσθυστηματος

ΠαραδείγματαΠαραδείγματα συμπεριφοραςσυμπεριφορας

HackerHacker

1.1.

ΕπιλέγειΕπιλέγει

τοτο

στοχοστοχο

χρησιμοποιωνταςχρησιμοποιωντας

IP lookup IP lookup tools tools

2.2.

ΧαρτογραφειΧαρτογραφει

τοτο

δικτυοδικτυο

αναζητωνταςαναζητωντας προσβασιμεςπροσβασιμες

υπηρεσιεςυπηρεσιες

3.3.

ΠροσδιοριζειΠροσδιοριζει

δυνητικαδυνητικα

τρωσιμεςτρωσιμες

υπηρεσιεςυπηρεσιες4.4.

ΣαρωνειΣαρωνει

ήή

««μαντευειμαντευει»»

τατα

passwordspasswords

5.5.

ΕγκαθισταΕγκαθιστα

remote administration tool remote administration tool 6.6.

ΠεριμενειΠεριμενει

τοντον

Admin Admin νανα

κανεικανει

log on log on καικαι

υποκλεπτειυποκλεπτει

τοτο

password password τουτου7.7.

ΧρησιμοποιειΧρησιμοποιει

τοτο

password password γιαγια

νανα

προσπελασειπροσπελασει

τοτο

δικτυοδικτυο

Criminal EnterpriseCriminal Enterprise••

ΟργανωμενεςΟργανωμενες

ομαδεςομαδες

αποαπο

hackers hackers έιναιέιναι

πλεονπλεον

μιαμια

σημαντικησημαντικη

απειληαπειλη––

ΒρισκονταιΒρισκονται

σεσε

εταιριεςεταιριες,,κυβερνητικουςκυβερνητικους

οργανισμουςοργανισμους

καικαι

σεσε

συμμοριεςσυμμοριες

––

ΕιναιΕιναι

συνηθωςσυνηθως

νεοινεοι––

ΣυχναΣυχνα

ειναιειναι

ΑνατολικοευρωπαιοιΑνατολικοευρωπαιοι

ήή

ΡωσοιΡωσοι

––

ΣυχναΣυχνα

στοχευουνστοχευουν

στουςστους

αριθμουςαριθμους

πιστωτικωνπιστωτικων

καρτωνκαρτων

σεσε

servers servers ηλεκτρονικουηλεκτρονικου

εμποριουεμποριου

••

ΟιΟι

εγκληματιεςεγκληματιες

hackers hackers συνηθωςσυνηθως

εχουνεχουν

συγκεκριμενουςσυγκεκριμενους στοχουςστοχους

••

ΑποΑπο

τητη

στιγμηστιγμη

πουπου

θαθα

διεισδυσουνδιεισδυσουν

ενεργουνενεργουν

γρηγοραγρηγορα

καικαι φευγουνφευγουν

••

ΤαΤα

συστηματασυστηματα

IDS / IPS IDS / IPS βοηθουνβοηθουν, , αλλααλλα

δενδεν

ειναιειναι

πανταπαντα αποτελεσματικααποτελεσματικα

••

ΤαΤα

ευαισθηταευαισθητα

δεδομεναδεδομενα

χρειαζονταιχρειαζονται

ισχυρηισχυρη

προστασιαπροστασια

Criminal Enterprise BehaviorCriminal Enterprise Behavior

1.1.

ΕνεργουνΕνεργουν

γρηγοραγρηγορα

καικαι

μεμε

ακριβειαακριβεια

γιαγια

νανα καταστησουνκαταστησουν

δυσκολοτερηδυσκολοτερη

τηντην

ανιχνευσηανιχνευση

τουςτους

2.2.

ΔιευσδυουνΔιευσδυουν

στηνστην

περιμετροπεριμετρο

μεσωμεσω

τρωτωντρωτων pportsorts

3.3.

ΧρησιμοποιουνΧρησιμοποιουν

trojantrojan

horses (hidden horses (hidden software) software) γιαγια

νανα

αφησουναφησουν

back doors back doors ωστεωστε

νανα

μπορουνμπορουν

νανα

ξαναμπουνξαναμπουν4.4.

ΧρησιμοποιουνΧρησιμοποιουν

snifferssniffers

γιαγια

νανα

υποκλεψουνυποκλεψουν

τατα

passwordspasswords5.5.

ΔενΔεν

παραμενουνπαραμενουν

μεχριμεχρι

νανα

εντοπιστουνεντοπιστουν

6.6.

ΚανουνΚανουν

λιγαλιγα

ηη

καθολουκαθολου

λαθηλαθη

ΕπιθεσειςΕπιθεσεις αποαπο InsidersInsiders••

EEιναιιναι

αποαπο

τιςτις

πιοπιο

δυσκολεςδυσκολες

στοστο

νανα

ανιχνευτουνανιχνευτουν

καικαι

νανα

προληφθουνπροληφθουν••

ΟιΟι

υπαλληλοιυπαλληλοι

εχουνεχουν

προσβασηπροσβαση

καικαι

γνωσηγνωση

τωντων

συστηματωνσυστηματων••

ΜπορειΜπορει

νανα

εχουνεχουν

ωςως

κινητροκινητρο

τηντην

εκδικησηεκδικηση

ήή

τηντην

υποκλοπηυποκλοπη

στοιχειωνστοιχειων––

ΟτανΟταν

τερματιζεταιτερματιζεται

ηη

εργασιακηεργασιακη

σχεσησχεση

––

ΉΉ

γιαγια

νανα

υποκλεψουνυποκλεψουν

αρχειααρχεια

πελατωνπελατων

οτανοταν

μετακινουνταιμετακινουνται

σεσε ανταγωνιστικηανταγωνιστικη

εταιριαεταιρια

••

ΤαΤα

IDS / IPS IDS / IPS μπορειμπορει

νανα

βοηθησουνβοηθησουν

αλλααλλα

επισηςεπισης χρειαζονταιχρειαζονται::

––

ΝαΝα

υιοθετηθειυιοθετηθει

ηη

αρχηαρχη

τωντων

ΕλαχιστωνΕλαχιστων

ΠρονομιωνΠρονομιων

((least least privilegeprivilege)),,

logslogs

παρακολουθησηςπαρακολουθησης, , ισχυρηισχυρη

πιστοποιησηπιστοποιηση

αυθεντικοτηταςαυθεντικοτητας, , διαδικασιεςδιαδικασιες

τερματισμουτερματισμου

γιαγια

νανα

μπλοκαρουνμπλοκαρουν

τηντην προσβασηπροσβαση

καικαι

mirror datamirror data

ΠαραδειγμαΠαραδειγμα συμπεριφοραςσυμπεριφορας

Insider Insider

1.1.

ΔημιουργουνΔημιουργουν

λογαριασμουςλογαριασμους

δικτυουδικτυου

γιαγια

τουςτους

εαυτουςεαυτους τουςτους

καικαι

τουςτους

φιλουςφιλους

τουςτους

2.2.

ΠροσπελαυνουνΠροσπελαυνουν

λογαριασμουςλογαριασμους

καικαι

εφαρμογεςεφαρμογες

πουπου κανονικακανονικα

δενδεν

θαθα

χρησιμοποιουσανχρησιμοποιουσαν

γιαγια

τιςτις

συνηθειςσυνηθεις

δουλειεςδουλειες

τουςτους3.3.

ΣτελνουνΣτελνουν

ee--mail mail σεσε

πρωηνπρωην

καικαι

μελλοντικουςμελλοντικους

εργοδοτεςεργοδοτες

4.4.

ΕπιδιδονταιΕπιδιδονται

κρυφακρυφα

σεσε

instantinstant--messaging chatsmessaging chats5.5.

EEπισκεπτονταιπισκεπτονται

web sites web sites πουπου

απευθυνονταιαπευθυνονται

σεσε

δυσαρεστημενουςδυσαρεστημενους

υπαλληλουςυπαλληλους6.6.

ΕκτελουνΕκτελουν

μεγαλαμεγαλα

downloads downloads καικαι

αντιγραφεςαντιγραφες

αρχειωναρχειων

7.7.

ΠροσπελαυνουνΠροσπελαυνουν

τοτο

δικτυοδικτυο

κατακατα

τητη

διαρκειαδιαρκεια

ωρωνωρων

μημη-- αιχμηςαιχμης..

ΤεχνικεςΤεχνικες ΕισβοληςΕισβολης••

ΑποσκοπουνΑποσκοπουν

στοστο

νανα

αποκτησουναποκτησουν

προσβασηπροσβαση

ήή//καικαι

νανα

αυξησουναυξησουν

τατα

προνομιαπρονομια

σεσε

εναενα

συστημασυστημα••

ΣυχναΣυχνα

χρησιμοποιουνχρησιμοποιουν

τατα

τρωτατρωτα

σημειασημεια

τουτου

συστηματοςσυστηματος

καικαι

τουτου

λογισμικουλογισμικου••

ΟΟ

βασικοςβασικος

στοχοςστοχος

ειναιειναι

συχνασυχνα

νανα

υποκλεψουνυποκλεψουν

τατα

passwordspasswords––

καικαι

στηστη

συνεχειασυνεχεια

νανα

ασκησουνασκησουν

τατα

δικαιωματαδικαιωματα

τουτου

ιδιοκτητηιδιοκτητη

τουςτους••

ΒασικηΒασικη

μεθοδογιαμεθοδογια

επιθεσηςεπιθεσης

––

ΠροσκτησηΠροσκτηση

στοχωνστοχων

καικαι

ληψηληψη

πληροφοριωνπληροφοριων––

ΑρχικηΑρχικη

προσβασηπροσβαση

––

ΑυξησηΑυξηση

τωντων

προνομιωνπρονομιων––

ΚαλυψηΚαλυψη

ΙχνωνΙχνων

««ΜαντεμαΜαντεμα»» τουτου Password Password

(Password Guessing)(Password Guessing)••

ΜιαΜια

αποαπο

τιςτις

πιοπιο

συχνεςσυχνες

επιθεσειςεπιθεσεις

••

ΟΟ

επιτιθεμενοςεπιτιθεμενος

γνωριζειγνωριζει

εναενα

login (login (αποαπο

email/web pageemail/web page, , κλπκλπ) )

••

ΚαιΚαι

στηστη

συνεχειασυνεχεια

προσπαθειπροσπαθει

νανα

««μαντεψειμαντεψει»»

τοτο

password password γιαγια

τοτο

συγκεκριμενοσυγκεκριμενο

loginlogin

––

defaults, defaults, μικραμικρα

passwords, passwords, κοινεςκοινες

λεξειςλεξεις––

πληροφοριεςπληροφοριες

τουτου

χρηστηχρηστη

(variations on names, birthday, phone, (variations on names, birthday, phone,

common words/interests) common words/interests) ––

ΕξαντλητικηΕξαντλητικη

αναζητησηαναζητηση

ολωνολων

τωντων

δυνατωνδυνατων

passwordspasswords

••

ΠολλεςΠολλες

φορεςφορες

χρησιμχρησιμooποιουνταιποιουνται

κλεμμενακλεμμενα

password filepassword filess••

ΗΗ

επιτυχιαεπιτυχια

εξαρταταιεξαρταται

αποαπο

τοτο

password password πουπου

θαθα

επιλεγειεπιλεγει

αποαπο

τοτο

χρηστηχρηστη••

ΜελετεςΜελετες

δειχνουνδειχνουν

οτιοτι

πολλοιπολλοι

χρηστεςχρηστες

επιλεγουνεπιλεγουν

ευκολαευκολα

passwordspasswords

ΥποκλοπηΥποκλοπη τουτου

Password Password (Password Capture)(Password Capture)

••

EEνανα

άλλοάλλο

είδοςείδος

επίθεσηςεπίθεσης

βασίζεταιβασίζεται

στηνστην

υποκλοπηυποκλοπη

τουτου password.password.

ΗΗ

υποκλοπηυποκλοπη

γίνεταιγίνεται

μεμε

τουςτους

εξηςεξης

τροπουςτροπους::

––

ΠαρακολουθησηΠαρακολουθηση

καποιουκαποιου

τηντην

ωραωρα

πουπου

πληκτρολογειπληκτρολογει

τοτο password password τουτου

––

ΧρησιμοποιησηΧρησιμοποιηση

ενοςενος

trojantrojan

horse horse γιαγια

τητη

συλλογησυλλογη

τουτου

passwordpassword––

ΠαρακολουθησηΠαρακολουθηση

ενοςενος

μημη--ασφαλουςασφαλους

network login network login

••

eg. telnet, FTP, web, emaileg. telnet, FTP, web, email––

ΕξαγωγηΕξαγωγη

καταγεγραμμενηςκαταγεγραμμενης

πληροφοριαςπληροφοριας

μεταμετα

αποαπο

επιτυχημενοεπιτυχημενο

login (web history/cache, last number login (web history/cache, last number dialeddialed

etc) etc) ••

ΧρησιμοποιωνταςΧρησιμοποιωντας

τοτο

υποκλαπενυποκλαπεν

password password μπορουνμπορουν

νανα

παραστησουνπαραστησουν

καποιονκαποιον

αλλοναλλον

χρηστηχρηστη••

ΟιΟι

χρηστεςχρηστες

πρεπειπρεπει

νανα

εκπαιδευονταιεκπαιδευονται

γιαγια

νανα

παιρνουνπαιρνουν

τατα

καταλληλακαταλληλα

μετραμετρα

ωστεωστε

νανα

αποφευγουναποφευγουν

τηντην

υποκλοπηυποκλοπη τουτου

password password τουςτους

ΑνιχνευσηΑνιχνευση ΕισβολήςΕισβολής

((Intrusion DetectionIntrusion Detection))••

ΕιναιΕιναι

βεβαιοβεβαιο

οτιοτι

θαθα

υπαρχουνυπαρχουν

αποτυχιεςαποτυχιες

τουςτους

συστηματοςσυστηματος

ασφαλειαςασφαλειας••

ΣυνεπωςΣυνεπως, , χρειαζεταιχρειαζεται

νανα

ανιχνευονταιανιχνευονται

οιοι

εισβολεςεισβολες, , ετσιετσι

ωστεωστε::––

ΝαΝα

τηντην

ανιχνευτουνανιχνευτουν

γρηγοραγρηγορα

καικαι

νανα

νανα

μπλοκαριστουνμπλοκαριστουν..

––

ΝαΝα

υπαρξειυπαρξει

αποτροπήαποτροπή

τουςτους––

ΝαΝα

συλλεγουνσυλλεγουν

πληροφοριεςπληροφοριες

πουπου

θαθα

χρησιμοποιηθουνχρησιμοποιηθουν

γιαγια

τητη

βελτίωσηβελτίωση

τηςτης

ασφάλειαςασφάλειας••

ΥποθετουμεΥποθετουμε

οτιοτι

εναςενας

εισβολεαςεισβολεας

θαθα

συμπεριφερθεισυμπεριφερθει

διαφορετικαδιαφορετικα

απαπ’’οτιοτι

εναςενας

νομιμοςνομιμος

χρηστηςχρηστης––

ΑλλαΑλλα

ηη

διακρισηδιακριση

μεταξυμεταξυ

τωντων

δυοδυο

δενδεν

ειναιειναι

ακριβηςακριβης

Intrusion DetectionIntrusion Detection

ΠροσεγγισειςΠροσεγγισεις τηςτης

ΑνιχνευσηςΑνιχνευσης ΕισβοληςΕισβολης

••

ΑνιχνευσηΑνιχνευση

στατιστικωνστατιστικων

ανωμαλιωνανωμαλιων

((statistical anomaly detectionstatistical anomaly detection)):: ΣυλλέγονταιΣυλλέγονται

δεδομεναδεδομενα

γιαγια

τητη

συμπεριφορασυμπεριφορα

τωντων

νομιμωννομιμων

χρηστωνχρηστων

σεσε

μιαμια

χρονικηχρονικη

περιοδοπεριοδο. . ΣτηΣτη

συνεχειασυνεχεια

εφαρμοζονταιεφαρμοζονται

στατιστικοιστατιστικοι

ελεγχοιελεγχοι, , στηνστην παρατηρουμενηπαρατηρουμενη

συμπεριφορασυμπεριφορα, , ωστεωστε

νανα

αξιολογηθειαξιολογηθει

αναν

ειναιειναι

ήή

οχιοχι

συμπεριφορασυμπεριφορα

νομιμουνομιμου

χρηστηχρηστη..αα) ) ΑνιχνευσηΑνιχνευση

βασισμενηβασισμενη

σεσε

ΚατωφλιαΚατωφλια

((Threshold detection):

Οριζονται

κατωφλια, αναξαρτητως

χρηστη

για

τη

συχνοτητα

εμφανισης

διαφορων γεγονοτων.

Οταν

το

κατωφλι

ξεπεραστει, τοτε

ανιχνευεται

εισβολη.

β)

Ανιχνευση

βασισμενη

σε

Προφιλ

(Profile based):

Αναπτυσσεται

για

καθε χρηστη

ενα

προφιλ

δραστηριοτητας. Ετσι

ανιχνευονται

αλλαγες

στην

συμπεριφορα

του

καθε

account.

••

ΑνιχνευσηΑνιχνευση

βασισμενηβασισμενη

σεσε

κανονεςκανονες

((rulerule--based detectionbased detection):): ΧρησιμοποιουνταιΧρησιμοποιουνται

κανονεςκανονες, , προκειμενουπροκειμενου

νανα

ανιχνευτειανιχνευτει

αναν

μιαμια

συμπεριφορασυμπεριφορα

ειναιειναι

νομιμουνομιμου

χρηστηχρηστη

ήή

οχιοχι. . α) Ανιχνευση

Ανωμαλιων

(Anomaly detection):

Αναπτυσσονται

κανονες

για

να

ανιχνευτει

αποκλιση

απο

τα

προηγουμενα

προτυπα

χρησης.β)

Αναγνωρθση

Διεισδυσης

(Penetration identification):

Η

προσεγγιση

αυτη

βασιζεται

στη

χρηση

εμπειρου

συστηματος

(expert system) που αναζητα

υποπτη

συμπεριφορα.

ΕγγραφεςΕγγραφες ΠαρακολουθησηςΠαρακολουθησης

((Audit RecordsAudit Records))••

ΕιναιΕιναι

εναενα

βασικοβασικο

εργαλειοεργαλειο

γιαγια

ανιχνευσηανιχνευση

εισβοληςεισβολης

••

ΕγγενειςΕγγενεις

εγγραφεςεγγραφες

παρακολουθησηςπαρακολουθησης

((native audit native audit recordsrecords))––

ΜεροςΜερος

ολωνολων

τωντων

πολυχρηστικωνπολυχρηστικων

λειτουργικωνλειτουργικων

συστηματωνσυστηματων

––

ΕιναιΕιναι

ηδηηδη

παρονταπαροντα

καικαι

ετοιμαετοιμα

γιαγια

χρησηχρηση––

ΜπορειΜπορει

ομωςομως

νανα

μηνμην

υπαρχειυπαρχει

ηη

πληροφοριαπληροφορια

πουπου

απαιτειταιαπαιτειται

ήή

νανα

μηνμην

ειναιειναι

στηνστην

επιθυμητηεπιθυμητη

μορφημορφη••

ΕγγραφεςΕγγραφες

παρακολουθησηςπαρακολουθησης

ειδικαειδικα

γιαγια

τηντην

ανιχνευσηανιχνευση

((detectiondetection--specific audit recordsspecific audit records))––

ΔημιουργουνταιΔημιουργουνται

ειδικαειδικα

γιαγια

νανα

συλλεγουνσυλλεγουν

επιθυμητηεπιθυμητη

πληροφοριαπληροφορια

––

ΠροσθετουνΠροσθετουν

επιπλεονεπιπλεον

overheadoverhead

στοστο

συστημασυστημα

ΑνιχνευσηΑνιχνευση ΣτατιστικωνΣτατιστικων

ΑνωμαλιωνΑνωμαλιων

••

ΑνιχνευσηΑνιχνευση

βασισμενηβασισμενη

σεσε

ΚατωφλιαΚατωφλια

((Threshold detection)––

ΜετραΜετρα

τιςτις

εμφανισειςεμφανισεις

ενοςενος

συγκεκριμενουσυγκεκριμενου

γεγονοτοςγεγονοτος

στοστο

χρονοχρονο––

ΑνΑν

υπερβαινουνυπερβαινουν

μιαμια

συγκεκριμενησυγκεκριμενη

τιμητιμη

τοτετοτε

υποθετουμευποθετουμε

οτιοτι

προκειταιπροκειται

γιαγια

εισβοληεισβολη––

ΑποΑπο

μονημονη

τηςτης

ειναιειναι

μιαμια

καπωςκαπως

««χοντροκομμενηχοντροκομμενη»»

καικαι

αναποτελεσματικηαναποτελεσματικη

μεθοδοςμεθοδος

ανιχνευσηςανιχνευσης•

Ανιχνευση

βασισμενη

σε

Προφιλ

(Profile based):

––

ΧαρακτηριζειΧαρακτηριζει

τηντην

προηγουμενηπροηγουμενη

συμπεριφορασυμπεριφορα

τωντων χρηστωνχρηστων

––

ΑνιχνευειΑνιχνευει

αποκλισειςαποκλισεις

αποαπο

αυτηναυτην––

ΤοΤο

προφιλπροφιλ

τουτου

χρηστηχρηστη

ειναιειναι

συνηθωςσυνηθως

πολυπαραμετρικοπολυπαραμετρικο

ΑναλυσηΑναλυση εγγραφωνεγγραφων

παρακολουθησηςπαρακολουθησης ((Audit Record AnalysisAudit Record Analysis))

••

ΕιναιΕιναι

ηη

βασηβαση

τωντων

στατιστικωνστατιστικων

προσεγγισεωνπροσεγγισεων••

ΑναλυονταιΑναλυονται

οιοι

εγγραφεςεγγραφες

γιαγια

νανα

παρουμεπαρουμε

μετρικεςμετρικες

ωςως

προςπρος

τοτο

χρονοχρονο––

counter, gauge, interval timer, resource usecounter, gauge, interval timer, resource use

••

ΧρησιμοποιουμεΧρησιμοποιουμε

διαφοραδιαφορα

tests tests πανωπανω

σεσε

αυτεςαυτες

τιςτις μετρικεςμετρικες

γιαγια

νανα

προσδιορισουμεπροσδιορισουμε

αναν

ηη

τρεχουσατρεχουσα

συμπεριφορασυμπεριφορα

ειναιειναι

αποδεκτηαποδεκτη––

mean & standard deviation, multivariate, mean & standard deviation, multivariate, markovmarkov

process, time series, operationalprocess, time series, operational••

ΤοΤο

κυριοκυριο

πλεονεκτημαπλεονεκτημα

ειναιειναι

οτιοτι

δεδε

χρησιμοποιειταιχρησιμοποιειται

προτερηπροτερη

γνωσηγνωση

ΑνιχνευσηΑνιχνευση

ΕισβολωνΕισβολων

ΒασισμενηΒασισμενη

σεσε

ΚανονεςΚανονες ((RuleRule--Based Intrusion DetectionBased Intrusion Detection))

••

ΠαρατηρουνταιΠαρατηρουνται

τατα

συμβαντασυμβαντα

στοστο

συτημασυτημα

καικαι

στηστη συνεχειασυνεχεια

εφαρμοζονταιεφαρμοζονται

κανονεςκανονες

γιαγια

νανα

αποφασιστειαποφασιστει

αναν

ηη

δραστηριοτηταδραστηριοτητα

αυτηαυτη

ειναιειναι υποπτηυποπτη

ήή

όχιόχι..

••

ΑνιχνευσηΑνιχνευση

ΑνωμαλιωνΑνωμαλιων

ΒασισμενηΒασισμενη

σεσε

ΚανονεςΚανονες ((rulerule--based anomaly detectionbased anomaly detection))

––

ΑναλυσηΑναλυση

ιστορικωνιστορικων

εγγραφωνεγγραφων

παρακολουθησηςπαρακολουθησης

γιαγια νανα

προσδιοριστουνπροσδιοριστουν

τατα

προτυπαπροτυπα

χρησηςχρησης

καικαι

νανα

δημιουργησουνδημιουργησουν

αυτοματααυτοματα

κανονεςκανονες

γιαγια

αυτααυτα––

ΣτηΣτη

συνεχειασυνεχεια

παρατηρειταιπαρατηρειται

ηη

τρεχουσατρεχουσα

συμπεριφορασυμπεριφορα

καικαι

ελεγχεταιελεγχεται

συμφωνασυμφωνα

μεμε

κανονεςκανονες

ωστεωστε

νανα

δουμεδουμε

αναν τουςτους

πληρειπληρει

––

ΟπωςΟπως

καικαι

ηη

στατιστικηστατιστικη

ανιχνευσηανιχνευση

πληροφοριαςπληροφοριας, , δεδε χρειαζεταιχρειαζεται

προτερηπροτερη

γνωσηγνωση

τωντων

αδυναμιωναδυναμιων

τηςτης

ασφαλειαςασφαλειας

τουτου

συστηματοςσυστηματος

••

ΑναγνωρισηΑναγνωριση

διεισδυσηςδιεισδυσης

βασισμενηβασισμενη

σεσε

κανονεςκανονες––

ΧρησιμοποιειΧρησιμοποιει

τεχνολογιατεχνολογια

εμπειρωνεμπειρων

συστηματωνσυστηματων

––

ΟιΟι

κανονεςκανονες

αναγνωριζουναναγνωριζουν

γνωστεςγνωστες

μορφεςμορφες

διεισδυσηςδιεισδυσης, , προτυπαπροτυπα

αδυναμιωναδυναμιων

ασφαλειαςασφαλειας

ήή

υποπτηυποπτη

συμπεριφορασυμπεριφορα

––

ΣυγκρινονταιΣυγκρινονται

οιοι

εγγραφεςεγγραφες

παρακολουθησηςπαρακολουθησης

μεμε

τουςτους κανονεςκανονες

––

ΟιΟι

κανονεςκανονες

ειναιειναι

συνηθωςσυνηθως

ειδικοιειδικοι

γιαγια

εναενα

συγκεκριμενοσυγκεκριμενο υπολογιστηυπολογιστη

καικαι

εναενα

συγκεκριμενοσυγκεκριμενο

λειτουργικολειτουργικο

συστημασυστημα

––

ΔημιουργουνταιΔημιουργουνται

αποαπο

ειδικουςειδικους

πουπου

αξιοποιουναξιοποιουν

τητη

γνωσηγνωση

τωντων διαχειριστωνδιαχειριστων

ασφαλειαςασφαλειας

συζητωνταςσυζητωντας

μαζιμαζι

τουςτους

ΑνιχνευσηΑνιχνευση

ΕισβολωνΕισβολων

ΒασισμενηΒασισμενη

σεσε

ΚανονεςΚανονες

ΠλανηΠλανη τουτου ΒασικουΒασικου ΠοσοστουΠοσοστου••

ΠρακτικαΠρακτικα

εναενα

συστημασυστημα

ανιχνευσηςανιχνευσης

εισβοληςεισβολης

χρειαζεταιχρειαζεται

νανα

ανιχνευειανιχνευει

εναενα

μεγαλομεγαλο

ποσοστοποσοστο

τωντων εισβολωνεισβολων

μεμε

οσοοσο

τοτο

δυνατοδυνατο

λιγοτερουςλιγοτερους

λανθασμενουςλανθασμενους

συναγερμουςσυναγερμους

((false alarmsfalse alarms))––

ΑνΑν

ανιχνευονταιανιχνευονται

πολυπολυ

λιγεςλιγες

εισβολεςεισβολες

τοτετοτε

υπαρχειυπαρχει

προβλημαπροβλημα

στηνστην

ασφαλειαασφαλεια––

ΑνΑν

υπαρχουνυπαρχουν

πολλοιπολλοι

λαθοςλαθος

συναγερμοισυναγερμοι

τοτετοτε

ειτεειτε

οιοι

χρήστεςχρήστες

θαθα

αρχισουναρχισουν

νανα

τουςτους

αγνοουναγνοουν, , ειτεειτε

θαθα χανεταιχανεται

ασκοπαασκοπα

χρονοςχρονος

γιαγια

τητη

διερευνησηδιερευνηση

τουςτους

••

ΑυτοΑυτο

ειναιειναι

πολυπολυ

δυσκολοδυσκολο

νανα

γινειγινει••

ΤαΤα

υπαρχονταυπαρχοντα

συστηματασυστηματα

δενδεν

τοτο

επιτυγχανουνεπιτυγχανουν

ικανοποιητικαικανοποιητικα

ΚατανεμημενηΚατανεμημενη ΑνιχνευσηΑνιχνευση

ΕισβοληςΕισβολης ((Distributed Intrusion DetectionDistributed Intrusion Detection))

••

ΜεχριΜεχρι

τωρατωρα

ηη

ερευναερευνα

σταστα

συστηματασυστηματα

ανιχνευσηςανιχνευσης εισβολωνεισβολων

εστιαζοτανεστιαζοταν

σεσε

αυτονομεςαυτονομες

εγκαταστασειςεγκαταστασεις

ενοςενος

μονομονο

συστηματοςσυστηματος••

ΩστοσοΩστοσο, , συνηθωςσυνηθως

οιοι

οργανισμοιοργανισμοι

χρειαζεταιχρειαζεται

νανα

υπερασπιστουνυπερασπιστουν

μιαμια

κατανεμημενηκατανεμημενη

συλλογησυλλογη υπολογιστωνυπολογιστων..

••

ΕιναιΕιναι

πιοπιο

αποτελεσματικοαποτελεσματικο

νανα

συνεργαζονταισυνεργαζονται

τατα συστηματασυστηματα

ανιχνευσηςανιχνευσης

ολωνολων

αυτωναυτων

τωντων

κατανεμημενωνκατανεμημενων

υπολογιστωνυπολογιστων••

ΣημαντικαΣημαντικα

ΘεματαΘεματα::

––

ΤοΤο

οτιοτι

σεσε

εναενα

ετερογενεςετερογενες

περιβαλλονπεριβαλλον, , οιοι

εγγραφεςεγγραφες παρακολουθησηςπαρακολουθησης

εχουνεχουν

διαφορετικαδιαφορετικα

format.format.

––

H H ακεραιοτηταακεραιοτητα

καικαι

ηη

εμπιστευτικοτηταεμπιστευτικοτητα

τωντων

δικτυωμενωνδικτυωμενων δεδομενωνδεδομενων

––

ΤοΤο

αναν

θαθα

επιλεγειεπιλεγει

κεντρικηκεντρικη

ήή

αποκεντρωμενηαποκεντρωμενη

αρχιτεκτονικηαρχιτεκτονικη

ΑρχιτεκτονικηΑρχιτεκτονικη γιαγια κατανεμημενηκατανεμημενη

ανιχνευσηανιχνευση εισβολωνεισβολων

ΚατανεμημενηΚατανεμημενη ανιχνευσηανιχνευση

εισβολωνεισβολων ΑρχιτεκτονικηΑρχιτεκτονικη

πρακτοραπρακτορα

ΔολώματαΔολώματα ((HoneypotsHoneypots))••

ΕιναιΕιναι

σχεδιασμενασχεδιασμενα

γιαγια

νανα

προσελκυουνπροσελκυουν

τουςτους

δυνητικαδυνητικα

επιτιθεμενουςεπιτιθεμενους..––

ΜακρυαΜακρυα

αποαπο

τηντην

προσβασηπροσβαση

κρισιμωνκρισιμων

συστηματωνσυστηματων

––

ΝαΝα

συλλεγουνσυλλεγουν

πληροφοριεςπληροφοριες

γιαγια

τιςτις

δραστηριοτητεςδραστηριοτητες τουςτους

––

ΝαΝα

ενθαρρυνειενθαρρυνει

τουςτους

επιτιθεμενουςεπιτιθεμενους

νανα

παραμενουνπαραμενουν στοστο

συστημασυστημα

ωστεωστε

νανα

προλαβειπρολαβει

οο

διαχειριστηςδιαχειριστης

νανα

απαντησειαπαντησει

στηνστην

επιθεσηεπιθεση••

ΑυταΑυτα

τατα

συστηματασυστηματα

ειναιειναι

γεματαγεματα

μεμε

κατασκευασμενεςκατασκευασμενες

πληροφοριεςπληροφοριες

πουπου

ειναιειναι φτιαγμενεςφτιαγμενες

νανα

μοιαζουνμοιαζουν

πολυτιμεςπολυτιμες

••

ΕφαρμοζονταιΕφαρμοζονται

σεσε

εναενα

ήή

σεσε

πολλαπολλα

δικτυωμεναδικτυωμενα συστηματασυστηματα

ΔιαχειρισηΔιαχειριση ΣυνθηματικωνΣυνθηματικων

((Password ManagementPassword Management))••

ΕιναιΕιναι

ηη

πρωτηπρωτη

γραμμηγραμμη

αμυναςαμυνας

απεναντιαπεναντι

στουςστους

εισβολειςεισβολεις

••

ΟιΟι

χρηστεςχρηστες

προμηθευονταιπρομηθευονται::––

login login ––

καθοριζεικαθοριζει

τατα

προνομιαπρονομια

τουτου

χρηστηχρηστη

––

password password ––

γιαγια

τηντην

πιστοποιησηπιστοποιηση

οτιοτι

τοτο

ατομοατομο

πουπου

χρησιμοποιησεχρησιμοποιησε τοτο

login login ειναιειναι

πραγματιπραγματι

αυτοςαυτος

στονστον

οποιοοποιο

ανηκειανηκει

τοτο

loginlogin

••

TTαα

passwords passwords συνηθωςσυνηθως

αποθηκευονταιαποθηκευονται

κρυπτογραφημενακρυπτογραφημενα––

ΤοΤο

Unix Unix χρησιμοποιειχρησιμοποιει

πολλαπλοπολλαπλο

DES (DES (μιαμια

παραλλαγηπαραλλαγη

τουτου))

––

ΤαΤα

πιοπιο

συγχρονασυγχρονα

συστηματασυστηματα

χρησιμοποιουνχρησιμοποιουν

κρυπτογραφικηκρυπτογραφικη

hash hash functionfunction

••

ΦυσικαΦυσικα, , τοτο

αρχειοαρχειο

τωντων

συνθηματικωνσυνθηματικων

((password filepassword file) ) πρεπειπρεπει

νανα

προστατευεταιπροστατευεται

στοστο

συστημασυστημα

ΣτρατηγικεςΣτρατηγικες επιλογηςεπιλογης συνθηματικουσυνθηματικου••

ΜπορειΜπορει

νανα

χρησιμοποιηθουνχρησιμοποιηθουν

πολιτικεςπολιτικες

καικαι

καληκαλη

εκπαιδευσηεκπαιδευση

τωντων

χρηστωνχρηστων••

ΠρεπειΠρεπει

νανα

εκπαιδευτουνεκπαιδευτουν

στηνστην

σημαντικοτητασημαντικοτητα

τωντων

καλωνκαλων

passwordspasswords••

ΠρεπειΠρεπει

νανα

δινονταιδινονται

οδηγιεςοδηγιες

γιαγια

τοτο

ποιαποια

ειναιειναι

καλακαλα

passwords passwords ––

ΕλαχιστοΕλαχιστο

μηκοςμηκος

(>6) (>6)

––

ΑπαιτειταιΑπαιτειται

εναενα

μειγμαμειγμα

κεφαλαιωνκεφαλαιων

καικαι

μικρωνμικρων γραμματωνγραμματων, , αριθμωναριθμων

καικαι

σημειωνσημειων

στιξηςστιξης

––

ΔενΔεν

πρεπειπρεπει

νανα

ειναιειναι

λεξειςλεξεις

πουπου

υπαρχουνυπαρχουν

στοστο

λεξικολεξικο••

ΕιναιΕιναι

ομωςομως

πιθανοπιθανο

οιοι

οδηγιεςοδηγιες

αυτεςαυτες

νανα

αγνοηθουναγνοηθουν

αποαπο

πολλουςπολλους

χρηστεςχρηστες

ΠαραγομεναΠαραγομενα αποαπο υπολογιστηυπολογιστη συνθηματικασυνθηματικα••

ΑφηνουμεΑφηνουμε

τοντον

υπολογιστηυπολογιστη

νανα

δημιουργησειδημιουργησει

τατα

passwordspasswords••

ΑνΑν

ειναιειναι

τυχαιατυχαια, , ειναιειναι

πιθανοπιθανο

νανα

μηνμην

μπορουνμπορουν

οιοι

χρηστεςχρηστες

νανα

τατα

απομνημονευσουναπομνημονευσουν. . ΕτσιΕτσι

θαθα

τατα

γραψουνγραψουν

σεσε

χαρτιχαρτι καικαι

μπορειμπορει

νανα

τουςτους

τατα

υποκλεψουνυποκλεψουν

••

ΑκομαΑκομα

κικι

αναν

μπορουνμπορουν

νανα

προφερθουνπροφερθουν

δενδεν

μπορουνμπορουν

νανα απομνημονευτουναπομνημονευτουν

••

ΗΗ

εμπειριαεμπειρια

εχειεχει

δειξειδειξει

οτιοτι

οιοι

χρηστεςχρηστες

δενδεν

τατα

αποδεχονταιαποδεχονται••

ΤοΤο

FIPS PUB 181 FIPS PUB 181 οριζειοριζει

μιαμια

αποαπο

τιςτις

πιοπιο

καλοσχεδιασμενεςκαλοσχεδιασμενες

γεννητριεςγεννητριες

συνθηματικωνσυνθηματικων..––

ΠεριλαμβανειΠεριλαμβανει

τοσοτοσο

περιγραφηπεριγραφη, , οσοοσο

καικαι

ενδεικτικοενδεικτικο

κωδικακωδικα..

––

ΔημιουργειΔημιουργει

λεξειςλεξεις

ενωνονταςενωνοντας

τυχαιεςτυχαιες

συλλαβεςσυλλαβες

πουπου

μπορουνμπορουν

νανα προφερθουνπροφερθουν

ΑντιδραστικοςΑντιδραστικος ΕλεγχοςΕλεγχος

ΣυνθηματικωνΣυνθηματικων ((Reactive CheckingReactive Checking))

••

ΤοΤο

ιδιοιδιο

τοτο

συστημασυστημα

εκτελειεκτελει

προγραμμαπρογραμμα σπασιματοςσπασιματος

συνθηματικωνσυνθηματικων

γιαγια

νανα

εντοπισειεντοπισει

τατα

αδυναμααδυναμα

συνθηματικασυνθηματικα••

ΤαΤα

συνθηματικασυνθηματικα

πουπου

σπαζουνσπαζουν

απενεργοποιουνταιαπενεργοποιουνται••

ΗΗ

μεθοδοςμεθοδος

ειναιειναι

εξαιρετικαεξαιρετικα

δαπανηρηδαπανηρη

σεσε

πορουςπορους••

ΤαΤα

ασχημαασχημα

επιλεγμεναεπιλεγμενα

συνθηματικασυνθηματικα

ειναιειναι

τρωτατρωτα, , μεχριμεχρι

νανα

βρεθουνβρεθουν

ΠροληπτικοςΠροληπτικος ΕλεγκτηςΕλεγκτης

ΣυνθηματικωνΣυνθηματικων••

ΕιναιΕιναι

ηη

πιοπιο

πολλαπολλα

υποσχομενηυποσχομενη

προσεγγισηπροσεγγιση

γιαγια

βελτιωσηβελτιωση

τηςτης

ασφαλειαςασφαλειας

τωντων συνθηματικωνσυνθηματικων

••

ΕπιτρεπειΕπιτρεπει

στουςστους

χρηστεςχρηστες

νανα

επιλεξουνεπιλεξουν

τοτο

δικοδικο τουςτους

συνθηματικοσυνθηματικο

••

ΑλλαΑλλα

τοτο

συστημασυστημα

επιβεβαιωνειεπιβεβαιωνει

αναν

τοτο συνθηματικοσυνθηματικο

πουπου

επελεξανεπελεξαν

ειναιειναι

αποδεκτοαποδεκτο

••

ΤοΤο

ζητημαζητημα

μεμε

τοντον

προληπτικοπροληπτικο

ελεγκτηελεγκτη

ειναιειναι

ηη ισορροπιαισορροπια

μεταξυμεταξυ

τηςτης

αποδοχηςαποδοχης

αποαπο

τοντον

χρηστηχρηστη

καικαι

τηςτης

ισχυοςισχυος

τουτου

συνθηματικουσυνθηματικου

ΣυνοψηΣυνοψη

••

ΕξετασαμεΕξετασαμε::––

ΤοΤο

προβλημαπροβλημα

τηςτης

εισβοληςεισβολης

––

ΤηνΤην

ανιχνευσηανιχνευση

εισβοληςεισβολης––

ΤηΤη

διαχειρισηδιαχειριση

συνθηματικωνσυνθηματικων