Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Cryptography and Cryptography and Network SecurityNetwork Security
ChapterChapter 2020Fifth EditionFifth Edition
by William Stallingsby William Stallings
ChapterChapter 2020–– IntrudersIntruders
They agreed that Graham should set the test for They agreed that Graham should set the test for Charles Charles MabledeneMabledene. It was neither more nor less . It was neither more nor less than that Dragon should get Stern's code. If he than that Dragon should get Stern's code. If he had the 'in' at had the 'in' at UttingUtting which he claimed to have which he claimed to have this should be possible, only loyalty to Moscow this should be possible, only loyalty to Moscow Centre would prevent it. If he got the key to the Centre would prevent it. If he got the key to the code he would prove his loyalty to London code he would prove his loyalty to London Central beyond a doubt.Central beyond a doubt.——Talking to Strange Men, Talking to Strange Men, Ruth RendellRuth Rendell
ΕισβολειςΕισβολεις ((Intruders)Intruders)••
ΕναΕνα
σημαντικοσημαντικο
θεμαθεμα
γιαγια
τατα
δικτυακαδικτυακα
συστηματασυστηματα
ειναιειναι
ηη
εχθρικηεχθρικη
ήή
ανεπιθυμητηανεπιθυμητη
προσβασηπροσβαση
••
ΕιτεΕιτε
μεσωμεσω
δικτυουδικτυου, , ειτεειτε
τοπικατοπικα
••
ΜπορουμεΜπορουμε
νανα
καταταξουμεκαταταξουμε
τουςτους
ΙΙntrudersntruders
στιςστις
εξηςεξης κατηγοριεςκατηγοριες::
–
Mεταμφιεσμενος
(Masquerader): Ενα
άτομο
που
δεν
ειναι εξουσιοδοτημενο
να
χρησιμοποιησει
τον
υπολογιστη
και
διαπερνα
τον
ελεγχο
προσβασης
του
συστηματος
για
να
εκμεταλλευτει
το λογαρισμο
ενος
νομιμου
χρηστη. Είναι
συνηθως
outsider.
–
Παρανομος
(Misfeasor): Eνας
νομιμος
χρηστης
που
προσπελαυνει δεδομενα, προγραμματα
ή
πορους
που
δεν
ειναι
εξουσιοδοτημενος
να
προσπελασει
ή
ειναι
εξουσιοδοτημενος
για
αυτην
την
προσβαση, αλλα
καταχραται
τα
προνομια
του. Eιναι
συνηθως
insider.
–
Κρυφος
Χρηστης
(Clandestine user): Ενα
ατομο
που
παιρνει ελεγχο
του
συστηματος
και
τον
χρησιμοποιει
για
να
αποφυγει
ή
να
καταστειλει
τον
ελεγχο
προσβασης. Mπορει
να
ειναι
είτε
insider, είτε outsider.
IntrudersIntruders••
H H σοβαροτητασοβαροτητα
τηςτης
απειληςαπειλης
αποαπο
ενανεναν
intruder intruder
ποικιλειποικιλει..––
BenignBenign
((καλοηθηςκαλοηθης)): : εξερευναεξερευνα, , ωστοσοωστοσο
ξοδευειξοδευει
πορουςπορους
τουτου
συστηματοςσυστηματος––
Serious (Serious (σοβαρησοβαρη): ): προσπεκλαυνειπροσπεκλαυνει
ήή//καικαι
τροποποιειτροποποιει
δεδομεναδεδομενα, , διαταρασσουνδιαταρασσουν
τοτο
συστημασυστημα••
ΗΗ
υπαρξηυπαρξη
τωντων
intruders intruders έχειέχει
οδηγησειοδηγησει
στηνστην
αναπτυξηαναπτυξη
τωντων
CERTsCERTs
(Computer Emergency (Computer Emergency Response TeamResponse Teamss))
••
ΟιΟι
τεχνικεςτεχνικες
τωντων
intruder & intruder & καικαι
τατα
προτυπαπροτυπα συμπεριφοραςσυμπεριφορας
τουςτους
σταθερασταθερα
αλλαζουναλλαζουν, , εχουνεχουν
ομωςομως
καποιακαποια
κοινακοινα
χαρακτηριστικαχαρακτηριστικα
ΠαραδείγματαΠαραδείγματα ΕισβοληςΕισβολης
((Examples of IntrusionExamples of Intrusion))••
remote root compromiseremote root compromise
••
web server defacementweb server defacement••
guessing / cracking passwordsguessing / cracking passwords
••
copying viewing sensitive data / databasescopying viewing sensitive data / databases••
running a packet running a packet sniffersniffer
••
distributing pirated softwaredistributing pirated software••
using an unsecured modem to access netusing an unsecured modem to access net
••
impersonating a user to reset passwordimpersonating a user to reset password••
using an unattended workstationusing an unattended workstation
HackersHackers••
υποκινούνταιυποκινούνται
απόαπό
συγκίνησησυγκίνηση
τηςτης
πρόσβασηςπρόσβασης
καικαι
τουτου
κυρουςκυρους––
ΣτηνΣτην
κοινοτητακοινοτητα
τουτου
hacking hacking επικρατειεπικρατει
απολυτηαπολυτη
αξιοκρατιααξιοκρατια
––
ΤοΤο
κυροςκυρος
καθοριζεταικαθοριζεται
αποαπο
τοτο
επιπεδοεπιπεδο
ικανοτηταςικανοτητας
τουτου
καθενοςκαθενος••
ΚαλοηθειςΚαλοηθεις
intruders intruders μπορειμπορει
νανα
ειναιειναι
ανεκτοιανεκτοι
––
ΚαταναλωνουνΚαταναλωνουν
πορουςπορους
καικαι
μπορειμπορει
νανα
υποβαθμισουνυποβαθμισουν
τηντην συμπερφορασυμπερφορα
τουτου
συστηματοςσυστηματος
––
ΔενΔεν
μπορουμεμπορουμε
νανα
ξερουμεξερουμε
αποαπο
τηντην
αρχηαρχη
αναν
ειναιειναι
καλοηθειςκαλοηθεις
ήή κακοηθειςκακοηθεις
••
ΤαΤα
IDS / IPS / IDS / IPS / VPNsVPNs
μπορουνμπορουν
νανα
βοηθησουνβοηθησουν••
ΗΗ
επαγρυπνησηεπαγρυπνηση
πουπου
πρεπειπρεπει
νανα
υπαρχειυπαρχει
κατακατα
παρεισακτωνπαρεισακτων
οδηγησεοδηγησε
στηνστην
αναπτυξηαναπτυξη
τωντων
CERTsCERTs––
ΣυλλεγουνΣυλλεγουν
καικαι
διαδιδουνδιαδιδουν
πληροφοριαπληροφορια
τρωσιμοτηταςτρωσιμοτητας
τουτου
σθυστηματοςσθυστηματος
ΠαραδείγματαΠαραδείγματα συμπεριφοραςσυμπεριφορας
HackerHacker
1.1.
ΕπιλέγειΕπιλέγει
τοτο
στοχοστοχο
χρησιμοποιωνταςχρησιμοποιωντας
IP lookup IP lookup tools tools
2.2.
ΧαρτογραφειΧαρτογραφει
τοτο
δικτυοδικτυο
αναζητωνταςαναζητωντας προσβασιμεςπροσβασιμες
υπηρεσιεςυπηρεσιες
3.3.
ΠροσδιοριζειΠροσδιοριζει
δυνητικαδυνητικα
τρωσιμεςτρωσιμες
υπηρεσιεςυπηρεσιες4.4.
ΣαρωνειΣαρωνει
ήή
««μαντευειμαντευει»»
τατα
passwordspasswords
5.5.
ΕγκαθισταΕγκαθιστα
remote administration tool remote administration tool 6.6.
ΠεριμενειΠεριμενει
τοντον
Admin Admin νανα
κανεικανει
log on log on καικαι
υποκλεπτειυποκλεπτει
τοτο
password password τουτου7.7.
ΧρησιμοποιειΧρησιμοποιει
τοτο
password password γιαγια
νανα
προσπελασειπροσπελασει
τοτο
δικτυοδικτυο
Criminal EnterpriseCriminal Enterprise••
ΟργανωμενεςΟργανωμενες
ομαδεςομαδες
αποαπο
hackers hackers έιναιέιναι
πλεονπλεον
μιαμια
σημαντικησημαντικη
απειληαπειλη––
ΒρισκονταιΒρισκονται
σεσε
εταιριεςεταιριες,,κυβερνητικουςκυβερνητικους
οργανισμουςοργανισμους
καικαι
σεσε
συμμοριεςσυμμοριες
––
ΕιναιΕιναι
συνηθωςσυνηθως
νεοινεοι––
ΣυχναΣυχνα
ειναιειναι
ΑνατολικοευρωπαιοιΑνατολικοευρωπαιοι
ήή
ΡωσοιΡωσοι
––
ΣυχναΣυχνα
στοχευουνστοχευουν
στουςστους
αριθμουςαριθμους
πιστωτικωνπιστωτικων
καρτωνκαρτων
σεσε
servers servers ηλεκτρονικουηλεκτρονικου
εμποριουεμποριου
••
ΟιΟι
εγκληματιεςεγκληματιες
hackers hackers συνηθωςσυνηθως
εχουνεχουν
συγκεκριμενουςσυγκεκριμενους στοχουςστοχους
••
ΑποΑπο
τητη
στιγμηστιγμη
πουπου
θαθα
διεισδυσουνδιεισδυσουν
ενεργουνενεργουν
γρηγοραγρηγορα
καικαι φευγουνφευγουν
••
ΤαΤα
συστηματασυστηματα
IDS / IPS IDS / IPS βοηθουνβοηθουν, , αλλααλλα
δενδεν
ειναιειναι
πανταπαντα αποτελεσματικααποτελεσματικα
••
ΤαΤα
ευαισθηταευαισθητα
δεδομεναδεδομενα
χρειαζονταιχρειαζονται
ισχυρηισχυρη
προστασιαπροστασια
Criminal Enterprise BehaviorCriminal Enterprise Behavior
1.1.
ΕνεργουνΕνεργουν
γρηγοραγρηγορα
καικαι
μεμε
ακριβειαακριβεια
γιαγια
νανα καταστησουνκαταστησουν
δυσκολοτερηδυσκολοτερη
τηντην
ανιχνευσηανιχνευση
τουςτους
2.2.
ΔιευσδυουνΔιευσδυουν
στηνστην
περιμετροπεριμετρο
μεσωμεσω
τρωτωντρωτων pportsorts
3.3.
ΧρησιμοποιουνΧρησιμοποιουν
trojantrojan
horses (hidden horses (hidden software) software) γιαγια
νανα
αφησουναφησουν
back doors back doors ωστεωστε
νανα
μπορουνμπορουν
νανα
ξαναμπουνξαναμπουν4.4.
ΧρησιμοποιουνΧρησιμοποιουν
snifferssniffers
γιαγια
νανα
υποκλεψουνυποκλεψουν
τατα
passwordspasswords5.5.
ΔενΔεν
παραμενουνπαραμενουν
μεχριμεχρι
νανα
εντοπιστουνεντοπιστουν
6.6.
ΚανουνΚανουν
λιγαλιγα
ηη
καθολουκαθολου
λαθηλαθη
ΕπιθεσειςΕπιθεσεις αποαπο InsidersInsiders••
EEιναιιναι
αποαπο
τιςτις
πιοπιο
δυσκολεςδυσκολες
στοστο
νανα
ανιχνευτουνανιχνευτουν
καικαι
νανα
προληφθουνπροληφθουν••
ΟιΟι
υπαλληλοιυπαλληλοι
εχουνεχουν
προσβασηπροσβαση
καικαι
γνωσηγνωση
τωντων
συστηματωνσυστηματων••
ΜπορειΜπορει
νανα
εχουνεχουν
ωςως
κινητροκινητρο
τηντην
εκδικησηεκδικηση
ήή
τηντην
υποκλοπηυποκλοπη
στοιχειωνστοιχειων––
ΟτανΟταν
τερματιζεταιτερματιζεται
ηη
εργασιακηεργασιακη
σχεσησχεση
––
ΉΉ
γιαγια
νανα
υποκλεψουνυποκλεψουν
αρχειααρχεια
πελατωνπελατων
οτανοταν
μετακινουνταιμετακινουνται
σεσε ανταγωνιστικηανταγωνιστικη
εταιριαεταιρια
••
ΤαΤα
IDS / IPS IDS / IPS μπορειμπορει
νανα
βοηθησουνβοηθησουν
αλλααλλα
επισηςεπισης χρειαζονταιχρειαζονται::
––
ΝαΝα
υιοθετηθειυιοθετηθει
ηη
αρχηαρχη
τωντων
ΕλαχιστωνΕλαχιστων
ΠρονομιωνΠρονομιων
((least least privilegeprivilege)),,
logslogs
παρακολουθησηςπαρακολουθησης, , ισχυρηισχυρη
πιστοποιησηπιστοποιηση
αυθεντικοτηταςαυθεντικοτητας, , διαδικασιεςδιαδικασιες
τερματισμουτερματισμου
γιαγια
νανα
μπλοκαρουνμπλοκαρουν
τηντην προσβασηπροσβαση
καικαι
mirror datamirror data
ΠαραδειγμαΠαραδειγμα συμπεριφοραςσυμπεριφορας
Insider Insider
1.1.
ΔημιουργουνΔημιουργουν
λογαριασμουςλογαριασμους
δικτυουδικτυου
γιαγια
τουςτους
εαυτουςεαυτους τουςτους
καικαι
τουςτους
φιλουςφιλους
τουςτους
2.2.
ΠροσπελαυνουνΠροσπελαυνουν
λογαριασμουςλογαριασμους
καικαι
εφαρμογεςεφαρμογες
πουπου κανονικακανονικα
δενδεν
θαθα
χρησιμοποιουσανχρησιμοποιουσαν
γιαγια
τιςτις
συνηθειςσυνηθεις
δουλειεςδουλειες
τουςτους3.3.
ΣτελνουνΣτελνουν
ee--mail mail σεσε
πρωηνπρωην
καικαι
μελλοντικουςμελλοντικους
εργοδοτεςεργοδοτες
4.4.
ΕπιδιδονταιΕπιδιδονται
κρυφακρυφα
σεσε
instantinstant--messaging chatsmessaging chats5.5.
EEπισκεπτονταιπισκεπτονται
web sites web sites πουπου
απευθυνονταιαπευθυνονται
σεσε
δυσαρεστημενουςδυσαρεστημενους
υπαλληλουςυπαλληλους6.6.
ΕκτελουνΕκτελουν
μεγαλαμεγαλα
downloads downloads καικαι
αντιγραφεςαντιγραφες
αρχειωναρχειων
7.7.
ΠροσπελαυνουνΠροσπελαυνουν
τοτο
δικτυοδικτυο
κατακατα
τητη
διαρκειαδιαρκεια
ωρωνωρων
μημη-- αιχμηςαιχμης..
ΤεχνικεςΤεχνικες ΕισβοληςΕισβολης••
ΑποσκοπουνΑποσκοπουν
στοστο
νανα
αποκτησουναποκτησουν
προσβασηπροσβαση
ήή//καικαι
νανα
αυξησουναυξησουν
τατα
προνομιαπρονομια
σεσε
εναενα
συστημασυστημα••
ΣυχναΣυχνα
χρησιμοποιουνχρησιμοποιουν
τατα
τρωτατρωτα
σημειασημεια
τουτου
συστηματοςσυστηματος
καικαι
τουτου
λογισμικουλογισμικου••
ΟΟ
βασικοςβασικος
στοχοςστοχος
ειναιειναι
συχνασυχνα
νανα
υποκλεψουνυποκλεψουν
τατα
passwordspasswords––
καικαι
στηστη
συνεχειασυνεχεια
νανα
ασκησουνασκησουν
τατα
δικαιωματαδικαιωματα
τουτου
ιδιοκτητηιδιοκτητη
τουςτους••
ΒασικηΒασικη
μεθοδογιαμεθοδογια
επιθεσηςεπιθεσης
––
ΠροσκτησηΠροσκτηση
στοχωνστοχων
καικαι
ληψηληψη
πληροφοριωνπληροφοριων––
ΑρχικηΑρχικη
προσβασηπροσβαση
––
ΑυξησηΑυξηση
τωντων
προνομιωνπρονομιων––
ΚαλυψηΚαλυψη
ΙχνωνΙχνων
««ΜαντεμαΜαντεμα»» τουτου Password Password
(Password Guessing)(Password Guessing)••
ΜιαΜια
αποαπο
τιςτις
πιοπιο
συχνεςσυχνες
επιθεσειςεπιθεσεις
••
ΟΟ
επιτιθεμενοςεπιτιθεμενος
γνωριζειγνωριζει
εναενα
login (login (αποαπο
email/web pageemail/web page, , κλπκλπ) )
••
ΚαιΚαι
στηστη
συνεχειασυνεχεια
προσπαθειπροσπαθει
νανα
««μαντεψειμαντεψει»»
τοτο
password password γιαγια
τοτο
συγκεκριμενοσυγκεκριμενο
loginlogin
––
defaults, defaults, μικραμικρα
passwords, passwords, κοινεςκοινες
λεξειςλεξεις––
πληροφοριεςπληροφοριες
τουτου
χρηστηχρηστη
(variations on names, birthday, phone, (variations on names, birthday, phone,
common words/interests) common words/interests) ––
ΕξαντλητικηΕξαντλητικη
αναζητησηαναζητηση
ολωνολων
τωντων
δυνατωνδυνατων
passwordspasswords
••
ΠολλεςΠολλες
φορεςφορες
χρησιμχρησιμooποιουνταιποιουνται
κλεμμενακλεμμενα
password filepassword filess••
ΗΗ
επιτυχιαεπιτυχια
εξαρταταιεξαρταται
αποαπο
τοτο
password password πουπου
θαθα
επιλεγειεπιλεγει
αποαπο
τοτο
χρηστηχρηστη••
ΜελετεςΜελετες
δειχνουνδειχνουν
οτιοτι
πολλοιπολλοι
χρηστεςχρηστες
επιλεγουνεπιλεγουν
ευκολαευκολα
passwordspasswords
ΥποκλοπηΥποκλοπη τουτου
Password Password (Password Capture)(Password Capture)
••
EEνανα
άλλοάλλο
είδοςείδος
επίθεσηςεπίθεσης
βασίζεταιβασίζεται
στηνστην
υποκλοπηυποκλοπη
τουτου password.password.
ΗΗ
υποκλοπηυποκλοπη
γίνεταιγίνεται
μεμε
τουςτους
εξηςεξης
τροπουςτροπους::
––
ΠαρακολουθησηΠαρακολουθηση
καποιουκαποιου
τηντην
ωραωρα
πουπου
πληκτρολογειπληκτρολογει
τοτο password password τουτου
––
ΧρησιμοποιησηΧρησιμοποιηση
ενοςενος
trojantrojan
horse horse γιαγια
τητη
συλλογησυλλογη
τουτου
passwordpassword––
ΠαρακολουθησηΠαρακολουθηση
ενοςενος
μημη--ασφαλουςασφαλους
network login network login
••
eg. telnet, FTP, web, emaileg. telnet, FTP, web, email––
ΕξαγωγηΕξαγωγη
καταγεγραμμενηςκαταγεγραμμενης
πληροφοριαςπληροφοριας
μεταμετα
αποαπο
επιτυχημενοεπιτυχημενο
login (web history/cache, last number login (web history/cache, last number dialeddialed
etc) etc) ••
ΧρησιμοποιωνταςΧρησιμοποιωντας
τοτο
υποκλαπενυποκλαπεν
password password μπορουνμπορουν
νανα
παραστησουνπαραστησουν
καποιονκαποιον
αλλοναλλον
χρηστηχρηστη••
ΟιΟι
χρηστεςχρηστες
πρεπειπρεπει
νανα
εκπαιδευονταιεκπαιδευονται
γιαγια
νανα
παιρνουνπαιρνουν
τατα
καταλληλακαταλληλα
μετραμετρα
ωστεωστε
νανα
αποφευγουναποφευγουν
τηντην
υποκλοπηυποκλοπη τουτου
password password τουςτους
ΑνιχνευσηΑνιχνευση ΕισβολήςΕισβολής
((Intrusion DetectionIntrusion Detection))••
ΕιναιΕιναι
βεβαιοβεβαιο
οτιοτι
θαθα
υπαρχουνυπαρχουν
αποτυχιεςαποτυχιες
τουςτους
συστηματοςσυστηματος
ασφαλειαςασφαλειας••
ΣυνεπωςΣυνεπως, , χρειαζεταιχρειαζεται
νανα
ανιχνευονταιανιχνευονται
οιοι
εισβολεςεισβολες, , ετσιετσι
ωστεωστε::––
ΝαΝα
τηντην
ανιχνευτουνανιχνευτουν
γρηγοραγρηγορα
καικαι
νανα
νανα
μπλοκαριστουνμπλοκαριστουν..
––
ΝαΝα
υπαρξειυπαρξει
αποτροπήαποτροπή
τουςτους––
ΝαΝα
συλλεγουνσυλλεγουν
πληροφοριεςπληροφοριες
πουπου
θαθα
χρησιμοποιηθουνχρησιμοποιηθουν
γιαγια
τητη
βελτίωσηβελτίωση
τηςτης
ασφάλειαςασφάλειας••
ΥποθετουμεΥποθετουμε
οτιοτι
εναςενας
εισβολεαςεισβολεας
θαθα
συμπεριφερθεισυμπεριφερθει
διαφορετικαδιαφορετικα
απαπ’’οτιοτι
εναςενας
νομιμοςνομιμος
χρηστηςχρηστης––
ΑλλαΑλλα
ηη
διακρισηδιακριση
μεταξυμεταξυ
τωντων
δυοδυο
δενδεν
ειναιειναι
ακριβηςακριβης
Intrusion DetectionIntrusion Detection
ΠροσεγγισειςΠροσεγγισεις τηςτης
ΑνιχνευσηςΑνιχνευσης ΕισβοληςΕισβολης
••
ΑνιχνευσηΑνιχνευση
στατιστικωνστατιστικων
ανωμαλιωνανωμαλιων
((statistical anomaly detectionstatistical anomaly detection)):: ΣυλλέγονταιΣυλλέγονται
δεδομεναδεδομενα
γιαγια
τητη
συμπεριφορασυμπεριφορα
τωντων
νομιμωννομιμων
χρηστωνχρηστων
σεσε
μιαμια
χρονικηχρονικη
περιοδοπεριοδο. . ΣτηΣτη
συνεχειασυνεχεια
εφαρμοζονταιεφαρμοζονται
στατιστικοιστατιστικοι
ελεγχοιελεγχοι, , στηνστην παρατηρουμενηπαρατηρουμενη
συμπεριφορασυμπεριφορα, , ωστεωστε
νανα
αξιολογηθειαξιολογηθει
αναν
ειναιειναι
ήή
οχιοχι
συμπεριφορασυμπεριφορα
νομιμουνομιμου
χρηστηχρηστη..αα) ) ΑνιχνευσηΑνιχνευση
βασισμενηβασισμενη
σεσε
ΚατωφλιαΚατωφλια
((Threshold detection):
Οριζονται
κατωφλια, αναξαρτητως
χρηστη
για
τη
συχνοτητα
εμφανισης
διαφορων γεγονοτων.
Οταν
το
κατωφλι
ξεπεραστει, τοτε
ανιχνευεται
εισβολη.
β)
Ανιχνευση
βασισμενη
σε
Προφιλ
(Profile based):
Αναπτυσσεται
για
καθε χρηστη
ενα
προφιλ
δραστηριοτητας. Ετσι
ανιχνευονται
αλλαγες
στην
συμπεριφορα
του
καθε
account.
••
ΑνιχνευσηΑνιχνευση
βασισμενηβασισμενη
σεσε
κανονεςκανονες
((rulerule--based detectionbased detection):): ΧρησιμοποιουνταιΧρησιμοποιουνται
κανονεςκανονες, , προκειμενουπροκειμενου
νανα
ανιχνευτειανιχνευτει
αναν
μιαμια
συμπεριφορασυμπεριφορα
ειναιειναι
νομιμουνομιμου
χρηστηχρηστη
ήή
οχιοχι. . α) Ανιχνευση
Ανωμαλιων
(Anomaly detection):
Αναπτυσσονται
κανονες
για
να
ανιχνευτει
αποκλιση
απο
τα
προηγουμενα
προτυπα
χρησης.β)
Αναγνωρθση
Διεισδυσης
(Penetration identification):
Η
προσεγγιση
αυτη
βασιζεται
στη
χρηση
εμπειρου
συστηματος
(expert system) που αναζητα
υποπτη
συμπεριφορα.
ΕγγραφεςΕγγραφες ΠαρακολουθησηςΠαρακολουθησης
((Audit RecordsAudit Records))••
ΕιναιΕιναι
εναενα
βασικοβασικο
εργαλειοεργαλειο
γιαγια
ανιχνευσηανιχνευση
εισβοληςεισβολης
••
ΕγγενειςΕγγενεις
εγγραφεςεγγραφες
παρακολουθησηςπαρακολουθησης
((native audit native audit recordsrecords))––
ΜεροςΜερος
ολωνολων
τωντων
πολυχρηστικωνπολυχρηστικων
λειτουργικωνλειτουργικων
συστηματωνσυστηματων
––
ΕιναιΕιναι
ηδηηδη
παρονταπαροντα
καικαι
ετοιμαετοιμα
γιαγια
χρησηχρηση––
ΜπορειΜπορει
ομωςομως
νανα
μηνμην
υπαρχειυπαρχει
ηη
πληροφοριαπληροφορια
πουπου
απαιτειταιαπαιτειται
ήή
νανα
μηνμην
ειναιειναι
στηνστην
επιθυμητηεπιθυμητη
μορφημορφη••
ΕγγραφεςΕγγραφες
παρακολουθησηςπαρακολουθησης
ειδικαειδικα
γιαγια
τηντην
ανιχνευσηανιχνευση
((detectiondetection--specific audit recordsspecific audit records))––
ΔημιουργουνταιΔημιουργουνται
ειδικαειδικα
γιαγια
νανα
συλλεγουνσυλλεγουν
επιθυμητηεπιθυμητη
πληροφοριαπληροφορια
––
ΠροσθετουνΠροσθετουν
επιπλεονεπιπλεον
overheadoverhead
στοστο
συστημασυστημα
ΑνιχνευσηΑνιχνευση ΣτατιστικωνΣτατιστικων
ΑνωμαλιωνΑνωμαλιων
••
ΑνιχνευσηΑνιχνευση
βασισμενηβασισμενη
σεσε
ΚατωφλιαΚατωφλια
((Threshold detection)––
ΜετραΜετρα
τιςτις
εμφανισειςεμφανισεις
ενοςενος
συγκεκριμενουσυγκεκριμενου
γεγονοτοςγεγονοτος
στοστο
χρονοχρονο––
ΑνΑν
υπερβαινουνυπερβαινουν
μιαμια
συγκεκριμενησυγκεκριμενη
τιμητιμη
τοτετοτε
υποθετουμευποθετουμε
οτιοτι
προκειταιπροκειται
γιαγια
εισβοληεισβολη––
ΑποΑπο
μονημονη
τηςτης
ειναιειναι
μιαμια
καπωςκαπως
««χοντροκομμενηχοντροκομμενη»»
καικαι
αναποτελεσματικηαναποτελεσματικη
μεθοδοςμεθοδος
ανιχνευσηςανιχνευσης•
Ανιχνευση
βασισμενη
σε
Προφιλ
(Profile based):
––
ΧαρακτηριζειΧαρακτηριζει
τηντην
προηγουμενηπροηγουμενη
συμπεριφορασυμπεριφορα
τωντων χρηστωνχρηστων
––
ΑνιχνευειΑνιχνευει
αποκλισειςαποκλισεις
αποαπο
αυτηναυτην––
ΤοΤο
προφιλπροφιλ
τουτου
χρηστηχρηστη
ειναιειναι
συνηθωςσυνηθως
πολυπαραμετρικοπολυπαραμετρικο
ΑναλυσηΑναλυση εγγραφωνεγγραφων
παρακολουθησηςπαρακολουθησης ((Audit Record AnalysisAudit Record Analysis))
••
ΕιναιΕιναι
ηη
βασηβαση
τωντων
στατιστικωνστατιστικων
προσεγγισεωνπροσεγγισεων••
ΑναλυονταιΑναλυονται
οιοι
εγγραφεςεγγραφες
γιαγια
νανα
παρουμεπαρουμε
μετρικεςμετρικες
ωςως
προςπρος
τοτο
χρονοχρονο––
counter, gauge, interval timer, resource usecounter, gauge, interval timer, resource use
••
ΧρησιμοποιουμεΧρησιμοποιουμε
διαφοραδιαφορα
tests tests πανωπανω
σεσε
αυτεςαυτες
τιςτις μετρικεςμετρικες
γιαγια
νανα
προσδιορισουμεπροσδιορισουμε
αναν
ηη
τρεχουσατρεχουσα
συμπεριφορασυμπεριφορα
ειναιειναι
αποδεκτηαποδεκτη––
mean & standard deviation, multivariate, mean & standard deviation, multivariate, markovmarkov
process, time series, operationalprocess, time series, operational••
ΤοΤο
κυριοκυριο
πλεονεκτημαπλεονεκτημα
ειναιειναι
οτιοτι
δεδε
χρησιμοποιειταιχρησιμοποιειται
προτερηπροτερη
γνωσηγνωση
ΑνιχνευσηΑνιχνευση
ΕισβολωνΕισβολων
ΒασισμενηΒασισμενη
σεσε
ΚανονεςΚανονες ((RuleRule--Based Intrusion DetectionBased Intrusion Detection))
••
ΠαρατηρουνταιΠαρατηρουνται
τατα
συμβαντασυμβαντα
στοστο
συτημασυτημα
καικαι
στηστη συνεχειασυνεχεια
εφαρμοζονταιεφαρμοζονται
κανονεςκανονες
γιαγια
νανα
αποφασιστειαποφασιστει
αναν
ηη
δραστηριοτηταδραστηριοτητα
αυτηαυτη
ειναιειναι υποπτηυποπτη
ήή
όχιόχι..
••
ΑνιχνευσηΑνιχνευση
ΑνωμαλιωνΑνωμαλιων
ΒασισμενηΒασισμενη
σεσε
ΚανονεςΚανονες ((rulerule--based anomaly detectionbased anomaly detection))
––
ΑναλυσηΑναλυση
ιστορικωνιστορικων
εγγραφωνεγγραφων
παρακολουθησηςπαρακολουθησης
γιαγια νανα
προσδιοριστουνπροσδιοριστουν
τατα
προτυπαπροτυπα
χρησηςχρησης
καικαι
νανα
δημιουργησουνδημιουργησουν
αυτοματααυτοματα
κανονεςκανονες
γιαγια
αυτααυτα––
ΣτηΣτη
συνεχειασυνεχεια
παρατηρειταιπαρατηρειται
ηη
τρεχουσατρεχουσα
συμπεριφορασυμπεριφορα
καικαι
ελεγχεταιελεγχεται
συμφωνασυμφωνα
μεμε
κανονεςκανονες
ωστεωστε
νανα
δουμεδουμε
αναν τουςτους
πληρειπληρει
––
ΟπωςΟπως
καικαι
ηη
στατιστικηστατιστικη
ανιχνευσηανιχνευση
πληροφοριαςπληροφοριας, , δεδε χρειαζεταιχρειαζεται
προτερηπροτερη
γνωσηγνωση
τωντων
αδυναμιωναδυναμιων
τηςτης
ασφαλειαςασφαλειας
τουτου
συστηματοςσυστηματος
••
ΑναγνωρισηΑναγνωριση
διεισδυσηςδιεισδυσης
βασισμενηβασισμενη
σεσε
κανονεςκανονες––
ΧρησιμοποιειΧρησιμοποιει
τεχνολογιατεχνολογια
εμπειρωνεμπειρων
συστηματωνσυστηματων
––
ΟιΟι
κανονεςκανονες
αναγνωριζουναναγνωριζουν
γνωστεςγνωστες
μορφεςμορφες
διεισδυσηςδιεισδυσης, , προτυπαπροτυπα
αδυναμιωναδυναμιων
ασφαλειαςασφαλειας
ήή
υποπτηυποπτη
συμπεριφορασυμπεριφορα
––
ΣυγκρινονταιΣυγκρινονται
οιοι
εγγραφεςεγγραφες
παρακολουθησηςπαρακολουθησης
μεμε
τουςτους κανονεςκανονες
––
ΟιΟι
κανονεςκανονες
ειναιειναι
συνηθωςσυνηθως
ειδικοιειδικοι
γιαγια
εναενα
συγκεκριμενοσυγκεκριμενο υπολογιστηυπολογιστη
καικαι
εναενα
συγκεκριμενοσυγκεκριμενο
λειτουργικολειτουργικο
συστημασυστημα
––
ΔημιουργουνταιΔημιουργουνται
αποαπο
ειδικουςειδικους
πουπου
αξιοποιουναξιοποιουν
τητη
γνωσηγνωση
τωντων διαχειριστωνδιαχειριστων
ασφαλειαςασφαλειας
συζητωνταςσυζητωντας
μαζιμαζι
τουςτους
ΑνιχνευσηΑνιχνευση
ΕισβολωνΕισβολων
ΒασισμενηΒασισμενη
σεσε
ΚανονεςΚανονες
ΠλανηΠλανη τουτου ΒασικουΒασικου ΠοσοστουΠοσοστου••
ΠρακτικαΠρακτικα
εναενα
συστημασυστημα
ανιχνευσηςανιχνευσης
εισβοληςεισβολης
χρειαζεταιχρειαζεται
νανα
ανιχνευειανιχνευει
εναενα
μεγαλομεγαλο
ποσοστοποσοστο
τωντων εισβολωνεισβολων
μεμε
οσοοσο
τοτο
δυνατοδυνατο
λιγοτερουςλιγοτερους
λανθασμενουςλανθασμενους
συναγερμουςσυναγερμους
((false alarmsfalse alarms))––
ΑνΑν
ανιχνευονταιανιχνευονται
πολυπολυ
λιγεςλιγες
εισβολεςεισβολες
τοτετοτε
υπαρχειυπαρχει
προβλημαπροβλημα
στηνστην
ασφαλειαασφαλεια––
ΑνΑν
υπαρχουνυπαρχουν
πολλοιπολλοι
λαθοςλαθος
συναγερμοισυναγερμοι
τοτετοτε
ειτεειτε
οιοι
χρήστεςχρήστες
θαθα
αρχισουναρχισουν
νανα
τουςτους
αγνοουναγνοουν, , ειτεειτε
θαθα χανεταιχανεται
ασκοπαασκοπα
χρονοςχρονος
γιαγια
τητη
διερευνησηδιερευνηση
τουςτους
••
ΑυτοΑυτο
ειναιειναι
πολυπολυ
δυσκολοδυσκολο
νανα
γινειγινει••
ΤαΤα
υπαρχονταυπαρχοντα
συστηματασυστηματα
δενδεν
τοτο
επιτυγχανουνεπιτυγχανουν
ικανοποιητικαικανοποιητικα
ΚατανεμημενηΚατανεμημενη ΑνιχνευσηΑνιχνευση
ΕισβοληςΕισβολης ((Distributed Intrusion DetectionDistributed Intrusion Detection))
••
ΜεχριΜεχρι
τωρατωρα
ηη
ερευναερευνα
σταστα
συστηματασυστηματα
ανιχνευσηςανιχνευσης εισβολωνεισβολων
εστιαζοτανεστιαζοταν
σεσε
αυτονομεςαυτονομες
εγκαταστασειςεγκαταστασεις
ενοςενος
μονομονο
συστηματοςσυστηματος••
ΩστοσοΩστοσο, , συνηθωςσυνηθως
οιοι
οργανισμοιοργανισμοι
χρειαζεταιχρειαζεται
νανα
υπερασπιστουνυπερασπιστουν
μιαμια
κατανεμημενηκατανεμημενη
συλλογησυλλογη υπολογιστωνυπολογιστων..
••
ΕιναιΕιναι
πιοπιο
αποτελεσματικοαποτελεσματικο
νανα
συνεργαζονταισυνεργαζονται
τατα συστηματασυστηματα
ανιχνευσηςανιχνευσης
ολωνολων
αυτωναυτων
τωντων
κατανεμημενωνκατανεμημενων
υπολογιστωνυπολογιστων••
ΣημαντικαΣημαντικα
ΘεματαΘεματα::
––
ΤοΤο
οτιοτι
σεσε
εναενα
ετερογενεςετερογενες
περιβαλλονπεριβαλλον, , οιοι
εγγραφεςεγγραφες παρακολουθησηςπαρακολουθησης
εχουνεχουν
διαφορετικαδιαφορετικα
format.format.
––
H H ακεραιοτηταακεραιοτητα
καικαι
ηη
εμπιστευτικοτηταεμπιστευτικοτητα
τωντων
δικτυωμενωνδικτυωμενων δεδομενωνδεδομενων
––
ΤοΤο
αναν
θαθα
επιλεγειεπιλεγει
κεντρικηκεντρικη
ήή
αποκεντρωμενηαποκεντρωμενη
αρχιτεκτονικηαρχιτεκτονικη
ΑρχιτεκτονικηΑρχιτεκτονικη γιαγια κατανεμημενηκατανεμημενη
ανιχνευσηανιχνευση εισβολωνεισβολων
ΚατανεμημενηΚατανεμημενη ανιχνευσηανιχνευση
εισβολωνεισβολων ΑρχιτεκτονικηΑρχιτεκτονικη
πρακτοραπρακτορα
ΔολώματαΔολώματα ((HoneypotsHoneypots))••
ΕιναιΕιναι
σχεδιασμενασχεδιασμενα
γιαγια
νανα
προσελκυουνπροσελκυουν
τουςτους
δυνητικαδυνητικα
επιτιθεμενουςεπιτιθεμενους..––
ΜακρυαΜακρυα
αποαπο
τηντην
προσβασηπροσβαση
κρισιμωνκρισιμων
συστηματωνσυστηματων
––
ΝαΝα
συλλεγουνσυλλεγουν
πληροφοριεςπληροφοριες
γιαγια
τιςτις
δραστηριοτητεςδραστηριοτητες τουςτους
––
ΝαΝα
ενθαρρυνειενθαρρυνει
τουςτους
επιτιθεμενουςεπιτιθεμενους
νανα
παραμενουνπαραμενουν στοστο
συστημασυστημα
ωστεωστε
νανα
προλαβειπρολαβει
οο
διαχειριστηςδιαχειριστης
νανα
απαντησειαπαντησει
στηνστην
επιθεσηεπιθεση••
ΑυταΑυτα
τατα
συστηματασυστηματα
ειναιειναι
γεματαγεματα
μεμε
κατασκευασμενεςκατασκευασμενες
πληροφοριεςπληροφοριες
πουπου
ειναιειναι φτιαγμενεςφτιαγμενες
νανα
μοιαζουνμοιαζουν
πολυτιμεςπολυτιμες
••
ΕφαρμοζονταιΕφαρμοζονται
σεσε
εναενα
ήή
σεσε
πολλαπολλα
δικτυωμεναδικτυωμενα συστηματασυστηματα
ΔιαχειρισηΔιαχειριση ΣυνθηματικωνΣυνθηματικων
((Password ManagementPassword Management))••
ΕιναιΕιναι
ηη
πρωτηπρωτη
γραμμηγραμμη
αμυναςαμυνας
απεναντιαπεναντι
στουςστους
εισβολειςεισβολεις
••
ΟιΟι
χρηστεςχρηστες
προμηθευονταιπρομηθευονται::––
login login ––
καθοριζεικαθοριζει
τατα
προνομιαπρονομια
τουτου
χρηστηχρηστη
––
password password ––
γιαγια
τηντην
πιστοποιησηπιστοποιηση
οτιοτι
τοτο
ατομοατομο
πουπου
χρησιμοποιησεχρησιμοποιησε τοτο
login login ειναιειναι
πραγματιπραγματι
αυτοςαυτος
στονστον
οποιοοποιο
ανηκειανηκει
τοτο
loginlogin
••
TTαα
passwords passwords συνηθωςσυνηθως
αποθηκευονταιαποθηκευονται
κρυπτογραφημενακρυπτογραφημενα––
ΤοΤο
Unix Unix χρησιμοποιειχρησιμοποιει
πολλαπλοπολλαπλο
DES (DES (μιαμια
παραλλαγηπαραλλαγη
τουτου))
––
ΤαΤα
πιοπιο
συγχρονασυγχρονα
συστηματασυστηματα
χρησιμοποιουνχρησιμοποιουν
κρυπτογραφικηκρυπτογραφικη
hash hash functionfunction
••
ΦυσικαΦυσικα, , τοτο
αρχειοαρχειο
τωντων
συνθηματικωνσυνθηματικων
((password filepassword file) ) πρεπειπρεπει
νανα
προστατευεταιπροστατευεται
στοστο
συστημασυστημα
ΣτρατηγικεςΣτρατηγικες επιλογηςεπιλογης συνθηματικουσυνθηματικου••
ΜπορειΜπορει
νανα
χρησιμοποιηθουνχρησιμοποιηθουν
πολιτικεςπολιτικες
καικαι
καληκαλη
εκπαιδευσηεκπαιδευση
τωντων
χρηστωνχρηστων••
ΠρεπειΠρεπει
νανα
εκπαιδευτουνεκπαιδευτουν
στηνστην
σημαντικοτητασημαντικοτητα
τωντων
καλωνκαλων
passwordspasswords••
ΠρεπειΠρεπει
νανα
δινονταιδινονται
οδηγιεςοδηγιες
γιαγια
τοτο
ποιαποια
ειναιειναι
καλακαλα
passwords passwords ––
ΕλαχιστοΕλαχιστο
μηκοςμηκος
(>6) (>6)
––
ΑπαιτειταιΑπαιτειται
εναενα
μειγμαμειγμα
κεφαλαιωνκεφαλαιων
καικαι
μικρωνμικρων γραμματωνγραμματων, , αριθμωναριθμων
καικαι
σημειωνσημειων
στιξηςστιξης
––
ΔενΔεν
πρεπειπρεπει
νανα
ειναιειναι
λεξειςλεξεις
πουπου
υπαρχουνυπαρχουν
στοστο
λεξικολεξικο••
ΕιναιΕιναι
ομωςομως
πιθανοπιθανο
οιοι
οδηγιεςοδηγιες
αυτεςαυτες
νανα
αγνοηθουναγνοηθουν
αποαπο
πολλουςπολλους
χρηστεςχρηστες
ΠαραγομεναΠαραγομενα αποαπο υπολογιστηυπολογιστη συνθηματικασυνθηματικα••
ΑφηνουμεΑφηνουμε
τοντον
υπολογιστηυπολογιστη
νανα
δημιουργησειδημιουργησει
τατα
passwordspasswords••
ΑνΑν
ειναιειναι
τυχαιατυχαια, , ειναιειναι
πιθανοπιθανο
νανα
μηνμην
μπορουνμπορουν
οιοι
χρηστεςχρηστες
νανα
τατα
απομνημονευσουναπομνημονευσουν. . ΕτσιΕτσι
θαθα
τατα
γραψουνγραψουν
σεσε
χαρτιχαρτι καικαι
μπορειμπορει
νανα
τουςτους
τατα
υποκλεψουνυποκλεψουν
••
ΑκομαΑκομα
κικι
αναν
μπορουνμπορουν
νανα
προφερθουνπροφερθουν
δενδεν
μπορουνμπορουν
νανα απομνημονευτουναπομνημονευτουν
••
ΗΗ
εμπειριαεμπειρια
εχειεχει
δειξειδειξει
οτιοτι
οιοι
χρηστεςχρηστες
δενδεν
τατα
αποδεχονταιαποδεχονται••
ΤοΤο
FIPS PUB 181 FIPS PUB 181 οριζειοριζει
μιαμια
αποαπο
τιςτις
πιοπιο
καλοσχεδιασμενεςκαλοσχεδιασμενες
γεννητριεςγεννητριες
συνθηματικωνσυνθηματικων..––
ΠεριλαμβανειΠεριλαμβανει
τοσοτοσο
περιγραφηπεριγραφη, , οσοοσο
καικαι
ενδεικτικοενδεικτικο
κωδικακωδικα..
––
ΔημιουργειΔημιουργει
λεξειςλεξεις
ενωνονταςενωνοντας
τυχαιεςτυχαιες
συλλαβεςσυλλαβες
πουπου
μπορουνμπορουν
νανα προφερθουνπροφερθουν
ΑντιδραστικοςΑντιδραστικος ΕλεγχοςΕλεγχος
ΣυνθηματικωνΣυνθηματικων ((Reactive CheckingReactive Checking))
••
ΤοΤο
ιδιοιδιο
τοτο
συστημασυστημα
εκτελειεκτελει
προγραμμαπρογραμμα σπασιματοςσπασιματος
συνθηματικωνσυνθηματικων
γιαγια
νανα
εντοπισειεντοπισει
τατα
αδυναμααδυναμα
συνθηματικασυνθηματικα••
ΤαΤα
συνθηματικασυνθηματικα
πουπου
σπαζουνσπαζουν
απενεργοποιουνταιαπενεργοποιουνται••
ΗΗ
μεθοδοςμεθοδος
ειναιειναι
εξαιρετικαεξαιρετικα
δαπανηρηδαπανηρη
σεσε
πορουςπορους••
ΤαΤα
ασχημαασχημα
επιλεγμεναεπιλεγμενα
συνθηματικασυνθηματικα
ειναιειναι
τρωτατρωτα, , μεχριμεχρι
νανα
βρεθουνβρεθουν
ΠροληπτικοςΠροληπτικος ΕλεγκτηςΕλεγκτης
ΣυνθηματικωνΣυνθηματικων••
ΕιναιΕιναι
ηη
πιοπιο
πολλαπολλα
υποσχομενηυποσχομενη
προσεγγισηπροσεγγιση
γιαγια
βελτιωσηβελτιωση
τηςτης
ασφαλειαςασφαλειας
τωντων συνθηματικωνσυνθηματικων
••
ΕπιτρεπειΕπιτρεπει
στουςστους
χρηστεςχρηστες
νανα
επιλεξουνεπιλεξουν
τοτο
δικοδικο τουςτους
συνθηματικοσυνθηματικο
••
ΑλλαΑλλα
τοτο
συστημασυστημα
επιβεβαιωνειεπιβεβαιωνει
αναν
τοτο συνθηματικοσυνθηματικο
πουπου
επελεξανεπελεξαν
ειναιειναι
αποδεκτοαποδεκτο
••
ΤοΤο
ζητημαζητημα
μεμε
τοντον
προληπτικοπροληπτικο
ελεγκτηελεγκτη
ειναιειναι
ηη ισορροπιαισορροπια
μεταξυμεταξυ
τηςτης
αποδοχηςαποδοχης
αποαπο
τοντον
χρηστηχρηστη
καικαι
τηςτης
ισχυοςισχυος
τουτου
συνθηματικουσυνθηματικου
ΣυνοψηΣυνοψη
••
ΕξετασαμεΕξετασαμε::––
ΤοΤο
προβλημαπροβλημα
τηςτης
εισβοληςεισβολης
––
ΤηνΤην
ανιχνευσηανιχνευση
εισβοληςεισβολης––
ΤηΤη
διαχειρισηδιαχειριση
συνθηματικωνσυνθηματικων