Detekcja intruzów


                    Wojciech Wirkijowski
                    ww at reconlab dot com
AGENDA:

● IDS – FAKTY I MITY
● NETWORK SECURITY MONITORING

● WDROŻENIA




    Detekcja intruzów
CZYM IDSY NIE SĄ?




Detekcja intruzów
ROZWIĄZANIAMI PROAKTYWNYMI

                    (I NIE TRAKTUJMY ICH TAK!)

                        (STEPPING STONE
      ...
SZWAJCARSKIMI SCYZORYKAMI!!!

    INACZEJ MÓWIĄC PANACEUM NA
          KAŻDY PROBLEM



Detekcja intruzów
FIREWALLAMI APLIKACYJNYMI
                            TEŻ NIE!!!




Detekcja intruzów
NIE POWINNY BYĆ TEŻ KOLEJNYMI
GADŻETAMI RYSUJĄCYMI PIĘKNE WYKRESY ;)




Detekcja intruzów
10

 9

 8




                                                                      Nasza konsola IDS
 7

 6

 5         ...
PO CO NAM WIĘC WYKRYWANIE INTRUZÓW?

           (PRZECIEŻ MAMY FIREWALLE I IPSY)




Detekcja intruzów
PONIEWAŻ:

           ISTNIEJĄCE ZABEZPIECZENIA MOGĄ
                      ZAWIEŚĆ!!!




Detekcja intruzów
●    CZY ISTNIEJĄCE ZABEZPIECZENIA SĄ
     W 100% EFEKTYWNE?

●    SKĄD MA BYĆ WIADOMO KIEDY
     ZABEZPIECZANIA ZAWIODŁY?...
POZA TYM:

● INTRUZ JEST NIEPRZEWIDYWALNY
● INTRUZ MOŻE BYĆ SPRYTNIEJSZY OD

  ADMINISTRUJĄCEGO
● ADMINISTRUJĄCY ZAWSZE DZ...
PROBLEMY

                    (HISTORIA ZE SKANOWANIEM
                          ODCINEK 1532 ;)




Detekcja intruzów
WSKAŹNIKI I OSTRZEŻENIA




Detekcja intruzów
● INTERNET NALEŻY TRAKTOWAĆ JAK POLE WALKI –
TAKI TROCHĘ „DZIKI ZACHÓD”
● PODSTAWOWYM ELEMENTEM DZIAŁAŃ TAK POLA

WALKI I ...
TRAKTUJMY WIĘC IDSY JAKO ŹRÓDŁO
            WSKAŹNIKÓW I OSTRZEŻEŃ

ROZSZERZMY CAŁY SYSTEM O:
● LOGOWANIE DANYCH STATYSTYC...
HISTORIA O SKANOWANU
                           CZĘŚĆ DRUGA

                    (W POPRZEDNIM ODCINKU... ;P)




Detekcja...
OBRAZ NA LICENCJI GFDL 1.2 - NSMWIKI.ORG




Detekcja intruzów
OBRAZ NA LICENCJI GFDL 1.2 - NSMWIKI.ORG




Detekcja intruzów
DEMO




Detekcja intruzów
quot;Security is a not a technology problem, it's a
      people problem.quot; - Bruce Schneier



                TRADYCY...
TRADYCJA DEMO:)




Detekcja intruzów
1. POJAWIŁ SIĘ ALARM
 2. ADMINISTRATOR/ANALITYK CZYTA ALARM
  3. NIE WIADOMO CZY ATAK SIĘ POWIÓDŁ (A
            MOŻE KTOŚ...
NETWORK SECURITY MONITORING – NSM
     ● ZAPISUJ ILE SIĘ DA (LOGUJ ILE MOŻESZ)

             ● JEŚLI NIE MOŻESZ LOGOWAĆ

 ...
WDROŻENIA




Detekcja intruzów
OSZACUJ RYZYKO, STRATY, ZYSKI
              ●

      ● USTAL POLITYKI – CO WOLNO A CO NIE

     ● STWÓRZ MAPĘ SIECI I URUC...
Detekcja intruzów
Detekcja intruzów
PROBLEMY WDROŻEŃ:
                         ● PRÓBKOWANIE

                              ● SPRZĘT

                        ...
PODSUMOWANIE:
         ● WYKRYWANIE INTRUZÓW, MUSI BYĆ

        NIEODŁĄCZNYM ELEMENTEM STRATEGII
                DEFENSE-I...
Dziękuję :)
                     Pytania?




Detekcja intruzów
Upcoming SlideShare
Loading in …5
×

[ISSA] IDS

700 views
651 views

Published on

Wojtek Wirkijowski

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
700
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

[ISSA] IDS

  1. 1. Detekcja intruzów Wojciech Wirkijowski ww at reconlab dot com
  2. 2. AGENDA: ● IDS – FAKTY I MITY ● NETWORK SECURITY MONITORING ● WDROŻENIA Detekcja intruzów
  3. 3. CZYM IDSY NIE SĄ? Detekcja intruzów
  4. 4. ROZWIĄZANIAMI PROAKTYWNYMI (I NIE TRAKTUJMY ICH TAK!) (STEPPING STONE I HISTORIA Z LOTNISKIEM) Detekcja intruzów
  5. 5. SZWAJCARSKIMI SCYZORYKAMI!!! INACZEJ MÓWIĄC PANACEUM NA KAŻDY PROBLEM Detekcja intruzów
  6. 6. FIREWALLAMI APLIKACYJNYMI TEŻ NIE!!! Detekcja intruzów
  7. 7. NIE POWINNY BYĆ TEŻ KOLEJNYMI GADŻETAMI RYSUJĄCYMI PIĘKNE WYKRESY ;) Detekcja intruzów
  8. 8. 10 9 8 Nasza konsola IDS 7 6 5 Kolumna 1 tworzy Kolumna 2 4 Kolumna 3 3 2 1 piękne wykresy :))) 0 Wiersz 1 Wiersz 2 Wiersz 3 Wiersz 4 Detekcja intruzów
  9. 9. PO CO NAM WIĘC WYKRYWANIE INTRUZÓW? (PRZECIEŻ MAMY FIREWALLE I IPSY) Detekcja intruzów
  10. 10. PONIEWAŻ: ISTNIEJĄCE ZABEZPIECZENIA MOGĄ ZAWIEŚĆ!!! Detekcja intruzów
  11. 11. ● CZY ISTNIEJĄCE ZABEZPIECZENIA SĄ W 100% EFEKTYWNE? ● SKĄD MA BYĆ WIADOMO KIEDY ZABEZPIECZANIA ZAWIODŁY? ● JEŚLI ZAWIODŁY TO CO ZOSTAŁO ZNISZCZONE, SKRADZIONE, STRACONE? Detekcja intruzów
  12. 12. POZA TYM: ● INTRUZ JEST NIEPRZEWIDYWALNY ● INTRUZ MOŻE BYĆ SPRYTNIEJSZY OD ADMINISTRUJĄCEGO ● ADMINISTRUJĄCY ZAWSZE DZIAŁA JAKO DRUGI (W STOSUNKU DO ATAKUJĄCEGO) ● W JAKI SPOSÓB PRZYGOTOWAĆ SIĘ NA PRZYSZŁOŚĆ? ● JEŚLI ZABEZPIECZA SIĘ WAŻNE BUDYNKI CZY POLEGA SIĘ TYLKO NA ZAMKACH W DRZWIACH? Detekcja intruzów
  13. 13. PROBLEMY (HISTORIA ZE SKANOWANIEM ODCINEK 1532 ;) Detekcja intruzów
  14. 14. WSKAŹNIKI I OSTRZEŻENIA Detekcja intruzów
  15. 15. ● INTERNET NALEŻY TRAKTOWAĆ JAK POLE WALKI – TAKI TROCHĘ „DZIKI ZACHÓD” ● PODSTAWOWYM ELEMENTEM DZIAŁAŃ TAK POLA WALKI I BIZNESU JEST MONITOROWANIE ● ZBIERANIE INFORMACJI - REKONESANS ● ANALIZA INFORMACJI ● HAKERZY NIE DZIAŁAJĄ W MAGICZNY SPOSÓB – ZOSTAWIAJĄ ŚLADY W WIELU MIEJSCACH ● LOGOWANIE I OBSERWOWANIE JAKO SPOSÓB NA WYKRYCIE TEGO OD KIEDY I ILE ZOSTAŁO STRACONE, A MOŻE KTOŚ SIĘ PRZYMIERZA DO TEGO ● REKONESANS PRZECIWNIKA TEŻ MOŻNA WYKRYĆ ● MAJĄC INFORMACJE Z JAKIEGOŚ OKRESU MOŻNA ZAREAGOWAĆ NA DZIAŁANIA NAWET NA BARDZO PRZEBIEGŁYCH I SKRYTYCH INTRUZÓW Detekcja intruzów
  16. 16. TRAKTUJMY WIĘC IDSY JAKO ŹRÓDŁO WSKAŹNIKÓW I OSTRZEŻEŃ ROZSZERZMY CAŁY SYSTEM O: ● LOGOWANIE DANYCH STATYSTYCZNYCH ● LOGOWANIE DANYCH SESJI ● LOGOWANIE PEŁNYCH PAKIETÓW Detekcja intruzów
  17. 17. HISTORIA O SKANOWANU CZĘŚĆ DRUGA (W POPRZEDNIM ODCINKU... ;P) Detekcja intruzów
  18. 18. OBRAZ NA LICENCJI GFDL 1.2 - NSMWIKI.ORG Detekcja intruzów
  19. 19. OBRAZ NA LICENCJI GFDL 1.2 - NSMWIKI.ORG Detekcja intruzów
  20. 20. DEMO Detekcja intruzów
  21. 21. quot;Security is a not a technology problem, it's a people problem.quot; - Bruce Schneier TRADYCYJNE PODEJŚCIE VS. NETWORK SECURITY MONITORING Detekcja intruzów
  22. 22. TRADYCJA DEMO:) Detekcja intruzów
  23. 23. 1. POJAWIŁ SIĘ ALARM 2. ADMINISTRATOR/ANALITYK CZYTA ALARM 3. NIE WIADOMO CZY ATAK SIĘ POWIÓDŁ (A MOŻE KTOŚ ODGADNIE?) 4. W POSZUKIWANIU POWIĄZANYCH ALERTÓW – I TAK NADAL NIC NIE WIADOMO, NAWET JEŚLI COŚ SIĘ ZNAJDZIE 5. PRZECHODZIMY DO NASTĘPNEGO ALARMU Detekcja intruzów
  24. 24. NETWORK SECURITY MONITORING – NSM ● ZAPISUJ ILE SIĘ DA (LOGUJ ILE MOŻESZ) ● JEŚLI NIE MOŻESZ LOGOWAĆ WSZYSTKIEGO, LOGUJ NAJWAŻNIEJSZE, PRÓBKUJ – LEPSZE WIEDZIEĆ COŚ NIŻ NIC ● WYKORZYSTAJ ISTNIEJĄCE ŹRÓDŁA INFORMACJI – FIREWALLE, LOGI ● DETEKCJA JAKO POCZĄTEK ŚLEDZTWA ● DECYZJE POZOSTAW LUDZIOM NIE URZĄDZENIOM Detekcja intruzów
  25. 25. WDROŻENIA Detekcja intruzów
  26. 26. OSZACUJ RYZYKO, STRATY, ZYSKI ● ● USTAL POLITYKI – CO WOLNO A CO NIE ● STWÓRZ MAPĘ SIECI I URUCHOMIONYCH USŁUG ● WDRÓŻ MONITOROWANIE ● DOSTRAJANIE, DOBIERANIE REGUŁ Detekcja intruzów
  27. 27. Detekcja intruzów
  28. 28. Detekcja intruzów
  29. 29. PROBLEMY WDROŻEŃ: ● PRÓBKOWANIE ● SPRZĘT ● WYDAJNOŚĆ ● SKALOWALNOŚĆ ● ŁATWOŚĆ OBSŁUGI ● LUDZIE ● KOSZTY Detekcja intruzów
  30. 30. PODSUMOWANIE: ● WYKRYWANIE INTRUZÓW, MUSI BYĆ NIEODŁĄCZNYM ELEMENTEM STRATEGII DEFENSE-IN-DEPTH ● SPRAWDZI SIĘ JEŚLI WIEMY DO CZEGO SŁUŻY „KNOW YOUR NETWORK BEFORE AN INTRUDER DOES” - Richard Bejtlich Detekcja intruzów
  31. 31. Dziękuję :) Pytania? Detekcja intruzów

×