Detekcja intruzów
Wojciech Wirkijowski
ww at reconlab dot com

AGENDA:
● IDS – FAKTY I MITY
● NETWORK SECURITY MONITORING
● WDROŻENIA
Detekcja intruzów

CZYM IDSY NIE SĄ?
Detekcja intruzów

ROZWIĄZANIAMI PROAKTYWNYMI
(I NIE TRAKTUJMY ICH TAK!)
(STEPPING STONE
I HISTORIA Z LOTNISKIEM)
Detekcja intruzów

SZWAJCARSKIMI SCYZORYKAMI!!!
INACZEJ MÓWIĄC PANACEUM NA
KAŻDY PROBLEM
Detekcja intruzów

FIREWALLAMI APLIKACYJNYMI
TEŻ NIE!!!
Detekcja intruzów

NIE POWINNY BYĆ TEŻ KOLEJNYMI
GADŻETAMI RYSUJĄCYMI PIĘKNE WYKRESY ;)
Detekcja intruzów

10
9
8
Nasza konsola IDS
7
6
5 Kolumna 1
tworzy
Kolumna 2
4 Kolumna 3
3
2
1
piękne wykresy :)))
0
Wiersz 1 Wiersz 2 Wiersz 3 Wiersz 4
Detekcja intruzów

PO CO NAM WIĘC WYKRYWANIE INTRUZÓW?
(PRZECIEŻ MAMY FIREWALLE I IPSY)
Detekcja intruzów

PONIEWAŻ:
ISTNIEJĄCE ZABEZPIECZENIA MOGĄ
ZAWIEŚĆ!!!
Detekcja intruzów

● CZY ISTNIEJĄCE ZABEZPIECZENIA SĄ
W 100% EFEKTYWNE?
● SKĄD MA BYĆ WIADOMO KIEDY
ZABEZPIECZANIA ZAWIODŁY?
● JEŚLI ZAWIODŁY TO CO ZOSTAŁO
ZNISZCZONE, SKRADZIONE,
STRACONE?
Detekcja intruzów

POZA TYM:
● INTRUZ JEST NIEPRZEWIDYWALNY
● INTRUZ MOŻE BYĆ SPRYTNIEJSZY OD
ADMINISTRUJĄCEGO
● ADMINISTRUJĄCY ZAWSZE DZIAŁA JAKO
DRUGI (W STOSUNKU DO ATAKUJĄCEGO)
● W JAKI SPOSÓB PRZYGOTOWAĆ SIĘ NA
PRZYSZŁOŚĆ?
● JEŚLI ZABEZPIECZA SIĘ WAŻNE BUDYNKI
CZY POLEGA SIĘ TYLKO NA ZAMKACH W
DRZWIACH?
Detekcja intruzów

PROBLEMY
(HISTORIA ZE SKANOWANIEM
ODCINEK 1532 ;)
Detekcja intruzów

WSKAŹNIKI I OSTRZEŻENIA
Detekcja intruzów

● INTERNET NALEŻY TRAKTOWAĆ JAK POLE WALKI –
TAKI TROCHĘ „DZIKI ZACHÓD”
● PODSTAWOWYM ELEMENTEM DZIAŁAŃ TAK POLA
WALKI I BIZNESU JEST MONITOROWANIE
● ZBIERANIE INFORMACJI - REKONESANS
● ANALIZA INFORMACJI
● HAKERZY NIE DZIAŁAJĄ W MAGICZNY SPOSÓB –
ZOSTAWIAJĄ ŚLADY W WIELU MIEJSCACH
● LOGOWANIE I OBSERWOWANIE JAKO SPOSÓB NA
WYKRYCIE TEGO OD KIEDY I ILE ZOSTAŁO STRACONE,
A MOŻE KTOŚ SIĘ PRZYMIERZA DO TEGO
● REKONESANS PRZECIWNIKA TEŻ MOŻNA WYKRYĆ
● MAJĄC INFORMACJE Z JAKIEGOŚ OKRESU MOŻNA
ZAREAGOWAĆ NA DZIAŁANIA NAWET NA BARDZO
PRZEBIEGŁYCH I SKRYTYCH INTRUZÓW
Detekcja intruzów

TRAKTUJMY WIĘC IDSY JAKO ŹRÓDŁO
WSKAŹNIKÓW I OSTRZEŻEŃ
ROZSZERZMY CAŁY SYSTEM O:
● LOGOWANIE DANYCH STATYSTYCZNYCH
● LOGOWANIE DANYCH SESJI
● LOGOWANIE PEŁNYCH PAKIETÓW
Detekcja intruzów

HISTORIA O SKANOWANU
CZĘŚĆ DRUGA
(W POPRZEDNIM ODCINKU... ;P)
Detekcja intruzów

OBRAZ NA LICENCJI GFDL 1.2 - NSMWIKI.ORG
Detekcja intruzów

OBRAZ NA LICENCJI GFDL 1.2 - NSMWIKI.ORG
Detekcja intruzów

DEMO
Detekcja intruzów

\"Security is a not a technology problem, it's a
people problem.\" - Bruce Schneier
TRADYCYJNE PODEJŚCIE
VS.
NETWORK SECURITY MONITORING
Detekcja intruzów

TRADYCJA DEMO:)
Detekcja intruzów

1. POJAWIŁ SIĘ ALARM
2. ADMINISTRATOR/ANALITYK CZYTA ALARM
3. NIE WIADOMO CZY ATAK SIĘ POWIÓDŁ (A
MOŻE KTOŚ ODGADNIE?)
4. W POSZUKIWANIU POWIĄZANYCH
ALERTÓW – I TAK NADAL NIC NIE
WIADOMO, NAWET JEŚLI COŚ SIĘ ZNAJDZIE
5. PRZECHODZIMY DO NASTĘPNEGO
ALARMU
Detekcja intruzów

NETWORK SECURITY MONITORING – NSM
● ZAPISUJ ILE SIĘ DA (LOGUJ ILE MOŻESZ)
● JEŚLI NIE MOŻESZ LOGOWAĆ
WSZYSTKIEGO, LOGUJ NAJWAŻNIEJSZE,
PRÓBKUJ – LEPSZE WIEDZIEĆ COŚ NIŻ NIC
● WYKORZYSTAJ ISTNIEJĄCE ŹRÓDŁA
INFORMACJI – FIREWALLE, LOGI
● DETEKCJA JAKO POCZĄTEK ŚLEDZTWA
● DECYZJE POZOSTAW LUDZIOM NIE
URZĄDZENIOM
Detekcja intruzów

WDROŻENIA
Detekcja intruzów

OSZACUJ RYZYKO, STRATY, ZYSKI
●
● USTAL POLITYKI – CO WOLNO A CO NIE
● STWÓRZ MAPĘ SIECI I URUCHOMIONYCH
USŁUG
● WDRÓŻ MONITOROWANIE
● DOSTRAJANIE, DOBIERANIE REGUŁ
Detekcja intruzów

Detekcja intruzów

Detekcja intruzów

PROBLEMY WDROŻEŃ:
● PRÓBKOWANIE
● SPRZĘT
● WYDAJNOŚĆ
● SKALOWALNOŚĆ
● ŁATWOŚĆ OBSŁUGI
● LUDZIE
● KOSZTY
Detekcja intruzów

PODSUMOWANIE:
● WYKRYWANIE INTRUZÓW, MUSI BYĆ
NIEODŁĄCZNYM ELEMENTEM STRATEGII
DEFENSE-IN-DEPTH
● SPRAWDZI SIĘ JEŚLI WIEMY DO CZEGO
SŁUŻY
„KNOW YOUR NETWORK BEFORE AN
INTRUDER DOES” - Richard Bejtlich
Detekcja intruzów

Dziękuję :)
Pytania?
Detekcja intruzów