Informatika | Informatikai biztonság » Ficsor Péter - Incidenskezelő rendszerek

1 EÖTVÖS LORÁND TUDOMÁNYEGYETEM INFORMATIKAI KAR Incidenskezelő rendszerek (Összehasonlító elemzés) Készítette: Ficsor Péter Programtervező matematikus Témavezető: Kincses Zoltán Budapest 2005. 2 Tartalomjegyzék 1. Bevezetés 4 2. Incidensek taxonómiája 6 2.1 Események 6 2.11 Tevékenységek 7 2.12 Célok 8 2.2 Támadások 9 2.21 Eszköz 9 2.22 Sebezhetőség 11 2.23 Eredmény 11 2.3 Incidensek 12 2.31 Támadók és céljaik 12 2.32 Siker és kudarc 15 2.4 Egyéb incidensosztályozó fogalmak 15 2.5 Sebezhetőségeket tartalmazó adatbázisok, törekvések 16 2.51 CVE(Common Vulnerabilities and Exposures) 16 2.52 ICAT 17 2.53 SECUNIA 17 2.54 BUGTRAQ 17 2.55 X-FORCE 18 2.56 CERT (Computer Emergency Response Team) 18 2.57 IETF (The Internet Engineering Task Force) 20 2.58 Mi a teendő, ha incidenst észlelünk? 22 3. Tűzfalak bemutatása 25 3.1 Csomagszűrő tűzfalak 26 3.2 Circuit-level vagy SOCKS tűzfalak 29 3.3 Alkalmazás szintű vagy proxy

tűzfalak 31 3.4 Dinamikus vagy állapottartó csomagszűrő tűzfalak 33 3.5 Kernel proxy, moduláris proxy tűzfalak 34 4. Behatolás-érzékelő (IDS) rendszerek bemutatása 36 4.1 IDS-ek osztályozása az információ forrása szerint 38 4.11 Host-alapú IDS (HIDS) 38 4.111 Alkalmazás-alapú IDS 40 4.12 Hálózat-alapú IDS (NIDS 41 4.121 Stack-alapú IDS 44 4.13 Hibrid rendszerek 44 4.2 IDS-ek osztályozása az alkalmazott technológia szerint 44 4.21 Visszaélést érzékelő modell 45 4.22 Rendellenességet érzékelő modell 47 3 4.23 Hibrid rendszerek 52 4.24 A felügyelt rendszer monitorozása 52 4.25 Rejtett megfigyelés 52 4.3 IDS-ek osztályozása a rendszer válasza szerint 53 4.31 Aktív rendszer 53 4.311 További információk gyűjtése 53 4.312 A környezet megváltoztatása 53 4.32 Passzív rendszer 54 4.321 Riasztások, figyelmeztetések, jelentések küldése 54 4.33 Riportálási és archiválási képességek 54 4.34 Az IDS rendszerek

hibamentes működésének szükségessége 55 4.4 A HIDS és NIDS rendszerek összehasonlító táblázata 56 5. Behatolás-megelőző rendszerek bemutatása 59 5.1 IPS-ek osztályozása az információ forrása szerint 61 5.11 Hoszt-alapú IPS (HIPS) 61 5.12 Hálózat alapú IPS (NIPS) 63 5.2 IPS-ek osztályozása az alkalmazott technológia szerint 64 5.21 Protokoll felismerési és azonosítási technikák 64 4.22 Forgalom elemzési technikák 66 6. Összefoglalás 69 7. Irodalomjegyzék 71 8. Ábrajegyzék 73 4 1. Bevezetés Amikor a ma széleskörűen használt Internet az 1990-as évek elején hódító útjára indult, még senki sem gondolta, hogy a fejlődés ilyen ütemben fog megtörténni, mint amilyen fejlődésnek a szemtanúi lehetünk. Az Interneten megjelenő hosztok száma naponta hihetetlen mértékben növekszik. Újabb és újabb számítógépek kapcsolódnak be a világot körülvevő globális hálózatba A Google már elérte a 8000000000 db kereshető

weblap számot úgy, hogy a világ számos részén az Internet penetráció még sehol sincs! 1. ábra Az internetes hosztok száma 2005 januárig Ez a hihetetlen nagy számú felhasználó mindennapjai során számos dologra használja számítógépét: munkáját végzi a géppel, segítségével kapcsolatot tart a szeretteivel, kollégáival, szórakoztatásra használja, játszik vele, stb., a lehetőségek száma végtelen A számítógép mindennapjaink része lett, az élet minden területén találkozhatunk vele Azzal, hogy életünk része lett, szinte minden személyes és fontos adatot is „megosztunk vele”. Annak érdekében, hogy ezek az adatok ne kerülhessenek illetéktelenek kezébe, a számítógépünk biztonságáról is gondoskodnunk kell. A nagy számú felhasználó között sohasem tudhatjuk, hogy éppen melyik az (melyek azok), amelyik (amelyikek) a mi adatainkra kíváncsi(ak), a mi számítógépünket próbálja(ják) meg „feltörni”. Az hibás

hozzáállás, hogy „az én adataimra senki sem kíváncsi, ezért nem foglalkozom a biztonság kérdésével”. A dolgozatban bemutatom a ma elérhető védelmi rendszerek előnyeit, hátrányait, felhasználási lehetőségeit Bemutatásra kerülnek azok a szervezetek, amelyekhez fordulhatunk baj esetén, illetve a baj megelőzésének érdekében. A 5 fenyegetettségre való figyelemfelkeltés érdekében álljon itt néhány elrettentő adat arról, mi is történik naponta az Internet rengetegében. A 2 ábra az 1 (egy) nap alatt észlelt incidensek számát mutatja, a 3. ábra egy összesített statisztikát tartalmaz a Symantec által indított rendszer indulása óta összegyűjtött adatokról 2. ábra Az elmúlt 24 óra alatt jelentett incidensek száma, földrészenként (2005 április 30) Forrás: https://analyzer.symanteccom/defaultasp Incidensek száma 1 nap 4.346672 1 hét 79.810223 Összesen 14.175389750 Megtámadott IP címek száma 1 nap 258.484 1

hét 3.479930 Összesen 139.883537 3. ábra Összesített statisztika (2005 április 30) Forrás: https://analyzer.symanteccom/defaultasp 6 2. Incidensek taxonómiája Ahhoz, hogy számítástechnikai szempontból mi is számít incidensek, szükségünk van a felmerülő fogalmak tisztázására. Már magának az incidens fogalmának tisztázása sem olyan egyszerű feladat. Igen sokféle definícióval találkozhatunk az Interneten, mégis talán a következő fogalom a legtágabb és legtalálóbb megfogalmazás: „Olyan esemény vagy tett, amely megszegi, vagy egyéb módon áthágja a biztonsági szabályzatot.” (RFC2828) Sokféle taxonómia létezik, melyek különféle megközelítésből próbálják kategorizálni az incidenseket. Ilyenek: • A támadási fogalmak egyszerű felsorolása • A kategóriák felsorolása • Az incidensek eredményének felsorolása • Tapasztalaton alapuló listák • Incidens mátrixok • Akció-alapú taxonómiák

A következőkben a Sandia [1] által kiadott incidensosztályozást mutatom be. 2.1 Események A számítógépek és számítógép hálózatok működése során rengeteg esemény következik be. Általánosságban elmondhatjuk, hogy egy esemény tulajdonképpen állapotváltozást jelent az adott rendszer vagy eszköz állapotában. Számítógépes biztonsági szempontból az esemény egy tevékenység eredménye, mely egy adott cél elérésének érdekében történik. Egy jó példa erre, amikor a felhasználó átmásol egy fájlt. Ekkor a tevékenység maga a másolás, a másolás célja pedig, egy fájl áthelyezése egy másik mappába. Tehát az esemény egy olyan cselekedet, amelynek hatására a cél állapota megváltozik. Az esemény egy logikai kapcsolatot reprezentál a tevékenység és a cél között. 7 2.11 Tevékenységek A tevékenység a felhasználó vagy folyamat által tett „lépés” a cél elérésének érdekében. A lehetséges tevékenységek

a következők: Vizsgálódás (probe) – a cél tulajdonságainak felderítése. Pásztázás (scan) – a cél pásztázása, a lehetséges célpontok felderítése. Elárasztás (flood) – a cél gyors egymás utáni elérése annak érdekében, hogy a cél erőforrásai túlterhelődjenek. Authentikáció (authenticate) – azonosítása valaminek vagy valakinek a cél elérésének érdekében. Megkerülés (bypass) – egy folyamat alternatív úton való megkerülése a cél elérésének érdekében. Álcázás (spoof) – valaminek az elrejtése, a külvilág számára másként való megjelenítése. Olvasás (read) – egy adott adathordozó tartalmának olvasása. Másolás (copy) – a cél lemásolása az eredeti cél változatlanul hagyása mellett. Lopás (steal) – a cél megszerzése amellett, hogy az eredeti célt eltüntetjük. Módosítás (modify) – a cél megváltoztatása. Törlés (delete) – a cél letörlése vagy helyrehozhatatlan

tönkretétele. 8 2.12 Célok A célok a következő logikai vagy fizikai egységek: Elérés (account) – a számítógép vagy hálózat egy olyan területe, amely a felhasználó elérésének adatait tartalmazza, és amely alapján a jogosultságokat kezelik. Folyamat (process) – a futó program, amely maga a futtatható kód, regiszterek, adatok és egyéb információk összessége. Adat (data) – a mindennapi számítógép használat során keletkező, ember vagy gép által feldolgozható, értelmezhető adathalmazok. Az adatok általában fájlként jelennek meg a számítógépeken, de lehetnek felejtő, nem felejtő memóriában, illetve egyéb tárolóeszközökön is Összetevő (component) – a számítógép vagy hálózat egy alkotóeleme. Számítógép (computer) – minden olyan determinisztikusan működő berendezés, amely képes bemenő adatok fogadására, ezeken különféle műveletek végzésére, továbbá az eredményül kapott adatok

kijelzésére, kivitelére, amelyek vagy közvetlenül értelmezhetőek a felhasználók részére vagy más berendezések vezérlésére használhatóak. Hálózat (network) – hálózatba kapcsolt számítógépek, a hálózatot kiszolgáló eszközök (switch, router, firewall) összessége. Kiterjedt hálózat (internetwork) – nagykiterjedésű hálózatok, amelyeket kisebb hálózat alkotnak. Pl Internet 9 2.2 Támadások Egy támadás során általában egy eszköz felhasználásával, kihasználva a cél sebezhetőségét, egy eseményt váltunk ki. Számítógépek nyelvén ez annyit jelent, hogy a támadó egy speciálisan megalkotott eszköz segítségével a cél sebezhetőségét kihasználva egy támadást hajt végre a kiszemelt cél ellen. A sikeres támadás jellemzője egy nem várt eredmény, jogosultság megszerzése a cél felett Fontos megemlíteni, hogy egy várt eredmény, jogosultság megszerzése nem számít támadásnak. Természetesen esete

válogatja, hogy mi számít várt és nem várt eredménynek, mondjuk egy adott számítógép szempontjából. A várt eredményt definiálhatjuk úgy, mint a tulajdonos által engedélyezett tevékenységek öszszessége. A nem várt eredmény ennek ellentettje, vagyis minden olyan tevékenység összessége, amelyet a tulajdonos nem engedélyezett 2.21 Eszköz A támadó, támadása során első lépésben valamilyen eszközt keres, mellyel a számítógép sebezhetőségét ki tudja használni. Az eszköz lehet összetett, komplett, egymásra épülő programok halmaza, elosztott rendszer, de lehet egészen egyszerű is, például a fizikai támadás esete, vagy egy felhasználói parancs. Eszköz (tool) – a számítógépi, illetve hálózati sebezhetőségeket kihasználó programok, segédletek. A következő eszközöket különböztetjük meg: Fizikai támadás (physical attack) – ebben az esetben a támadó fizikailag hozzáfér a számítógéphez. Pl a

billentyűzethez, merevlemezhez Elviheti a merevlemezt és egy másik számítógépen, elolvashatja annak tartalmát, hozzáférhet a gép konzoljához stb 10 Információcsere (information exchange) – titkos vagy értékes információk megszerzése valakitől. Pl jelszó elkérése az alkalmazottól kihasználva annak emberi hiszékenységét, jóindulatát Tipikus példája ennek az ún social engineering Felhasználói utasítás (user command) – adott sebezhetőség kihasználása parancsok begépelésével. Jó példák erre a telnet, ssh programok, amelyek egyszerű parancsok segítségével irányíthatóak Szkript vagy program (script or program) – sebezhetőség kihasználása parancsok begépelésével vagy speciális parancsfájlok futtatása. Pl a jelszótörő programok, trójai falovak, parancssori szkriptek ilyenek Önállóan cselekvő ágens (autonomous agent) – adott sebezhetőség kihasználására használt programok, melyek „elindításuk”

után önállóan hajtják végre a támadásokat vagy tesznek kárt. Ilyenek például a vírusok vagy a férgek Eszköztár (toolkit) – egy komlpett szoftvercsomag, mely a legkülönfélébb szkripteket, programokat tartalmazza. A programok segítségével sokféle támadás indítható Elosztott eszközök (distributed tool) – olyan eszköz, amelyet el lehet osztani különböző munkaállomások között és távoli irányításukkal többrésztvevős támadás indítható. Adatlehallgatás (data tap) – valamilyen speciális célhardver, amely képes a számítógépek és egyéb elektromos eszközök elektromos sugárzását felfogni. Az itt felsorolt eszközök néhány kivételtől eltekintve, tartalmazhatják egymást. Nehéz pontosan bekategorizálni egy adott támadáshoz felhasznált eszközt Felhasználói inputtal lehet például elindítani egy támadásra használt szkriptet vagy egyes eszköztárak különféle szkriptekből, programokból, önállóan

működő ágensekből állnak. Az incidensek besorolása éppen ezért mindig a legbővebb halmaz szerint történik. 11 2.22 Sebezhetőség A támadó, a támadásai során általában valamilyen számítógépi - vagy hálózati sebezhetőség, hiba kihasználásával éri el célját. Sebezhetőség (vulnerability) – a rendszer gyenge pontja melyet a támadók, támadásaik során kihasználnak. A sebezhetőségeket a következő csoportokba sorolhatjuk: Tervezési hibából fakadó sebezhetőség (design vulnerability) - a hiba eredete a hardver vagy a szoftver tervezési hibájából fakad. Megvalósítási hibából fakadó sebezhetőség (implementation vulnerability) – a hiba a hardver gyártása, illetve a szoftver implementálási folyamatában következik be. Beállítási hibából fakadó sebezhetőség (configuration vulnerability) – szoftver beállítási problémák. Ilyenek az üres jelszavak, alapbeállításon hagyott rendszerszolgáltatások,

feleslegesen futó szolgáltatások, stb 2.23 Eredmény A támadó valamilyen eszköz felhasználásával, a rendszer sebezhetőségét kihasználva indít támadást a rendszer ellen. Egy sikeres támadás végeredménye egy nem várt eredmény bekövetkezése, jogosulatlan hozzáférés elérése Jogosulatlan, nem várt eredmény (unauthorized result) – egy esemény nem várt, jogosulatlan eredménye. Egy eredményes támadás a következő csoportokba eshet: Fokozott elérés (increased access) – hálózati illetve munkaállomási erőforrások hozzáférésének nem várt mértékben való fokozódása. 12 Adatok nyilvánosságra hozása (disclosure of information) – információ elárulása olyan személynek, akinek egyébként nem lenne jogosultsága hozzáférni az adatokhoz. Adatok megváltoztatása (corruption of information) – számítógépek, illetve hálózati adatok jogosulatlan megváltoztatása. Szolgáltatás megtagadás (denial of service) –

számítógép vagy hálózat erőforrásainak szándékos túlterhelése, ezáltal a normális működés akadályozása. Erőforrások eltulajdonítása (theft of resources) – a számítógépek, illetve a hálózat jogosulatlan használata. 2.3 Incidensek Incidens (incident) – az incidens támadások egy olyan csoportja, amelyeket jellemez a támadást kivitelező személy, a támadás típusa, a felhasznált eszköz, az elérni kívánt célok, a megtámadott szervezet és az elkövetés időpontja. Egy incidens akár több támadásból is állhat 2.31 Támadók és céljaik Az emberek a legkülönfélébb okokból és céllal támadnak meg számítógépeket és hálózatokat. Az alábbi kategorizálás magát az embert és indíttatását, illetve célját próbálja megkülönböztetni. Támadó (attacker) – egy vagy több személy, aki(k) valamilyen okból kifolyólag támadást(okat) indít(anak). Cél, mint eredmény (objective) – az incidens elkövetésének

oka. A támadókat az alábbi hat kategóriába soroljuk: 13 Hackerek (hackers) – támadók akik, a kihívás, az izgalom, a bizonyítási vágy miatt támadnak meg számítógépeket. Kémek (spies) – politikai előny megszerzéséért tevékenykedő támadók. Terroristák (terrorists) – olyan politikai indíttatású támadók, akiknek a félelemkeltés a céljuk. Alkalmazottak (corporate raiders) – olyan alkalmazottak, akik a konkurens cég számítógépeit támadják anyagi és egyéb okokból. Profi bűnözők (professional criminals) – olyan támadók, akik saját érdekeik (pl. anyagi érdek) miatt követnek el támadásokat Vandálok (vandals) – olyan elkövetők, akiknek a szándékos károkozás a céljuk. Kukkolók (voyeur) – értékes információkat kalandvágyból megszerző elkövetők. 14 Az incidensek taxonómiáját a 4. ábra mutatja: Incidens

Å-------------------------------------------------------------------------------------------------------------------Æ Támadás Å----------------------------------------------------------------------------------Æ Esemény Å--------------------------Æ Támadó Eszköz Sebezhetőség Akció Cél Nem várt Indíttatás eredmény hacker fizikai támadás tervezési hiba vizsgálódás elérés fokozott elérés kihívás, erőfitogtatás, kalandvágy kém információcsere megvalósítási pásztázás folyamat hiba terrorista felhasználói uta- szkript vagy beállítási hiba elárasztás adat adatok megvál- anyagi céllal toztatása authentikáció összetevő program profi bűnö- önállóan cselek- ző vő ágens vandál eszköztár álcázás hálózat kukkoló elosztott eszkö- írás kiterjedt há- megkerülés számítógép szolgáltatás károkozási megtagadás céllal erőforrások eltulajdonítása zök adatlehallgatás

politikai céllal nosságra hozása sítás alkalmazott adatok nyilvá- lózat olvasás lopás módosítás törlés 4. ábra Incidensek taxonómiája 15 2.32 Siker és kudarc Az incidensek osztályozásának szempontjából fontos fogalom még a sikeres, és sikertelen támadás fogalma. A támadás akkor sikeres, ha a támadó elérte célját, a tulajdonos által nem engedélyezett vagy illegális tevékenység történt A támadás sikertelen, ha a támadó nem tudta elérni célját. Egy támadás lehet sikeres vagy sikertelen, de mindkét esetben előfordulhat, hogy a cselekedet következményei ismeretlenek maradnak. 2.4 Egyéb incidensosztályozó fogalmak Az előző fejezetekben bemutatott incidens taxonómia leírja, hogy egy támadó eszközei felhasználásával hogyan tudja elérni célját, a megtámadott rendszeren. Az alábbiakban az előbbi taxonómia néhány kiegészítő fogalmát írjuk le. Ezekkel a fogalmakkal, tulajdonságokkal lesz a fent ismertetett

taxonómia teljes. Szervezet (site) – a megtámadott szervezet neve. Ez lehet ténylegesen egy cég neve, de lehet egy egyéni, otthoni felhasználó neve is. Oldal neve (site name) – a szervezethez „tartozó” teljes domain név, ip cím. Jelentés dátuma (reporting date) – az első dátum, amikor az incidenst jelentették egy incidenskezelő központnak. Kezdés időpontja (starting date) – az incidens első megfigyelésének dátuma. Befejezés időpontja (ending date) – az incidens utolsó megfigyelésének dátuma. Érintett szervezetek (number of sites) – a támadást jelentő, illetve a támadást nem jelentő, de érintett oldalak teljes száma. Jelentő oldalak (reporting sites) – olyan oldalak melyek jelentették a támadást. 16 Egyéb érintett oldalak (other sites) – olyan oldalak, amelyek érintettek a támadásban, de nem jelentették a támadást. Incidensazonosító szám (incident number) – hivatkozási szám, mellyel az incidens

nyomonkövethető, azonosítható. Helyrehozási lépések (corrective action) – a támadás által okozott károk helyrehozási lépéseinek leírása. Károk helyreállítása, kijelölt frissítések telepítése, esetleges jogi lépések megtételének ismertetése 2.5 Sebezhetőségeket tartalmazó adatbázisok, törekvések Az alábbi fejezetben bemutatjuk a jelentősebb számítógépes sebezhetőségeket, hibákat tartalmazó adatbázisokat, és azok rövid leírását. 2.51 CVE(Common Vulnerabilities and Exposures) A CVE a MITRE által üzemeltetett és karbantartott lista, adatbázis. Az adatbázis az ismert, napvilágra került sebezhetőségek leírását tartalmazza, megoldásukhoz, javításukhoz linket nem tartalmaz. A sebezhetőségeket leginkább azonosítójuk szerint lehet keresni A sebezhetőségek leírásánál megtaláljuk ugyanezen sebezhetőség más adatbázisokban fellelhető azonosítóját Ha egy új sebezhetőség kerül napvilágra, akkor a CVE

által összeállított bizottsága dönt a sebezhetőség felvételéről a listába, illetve annak besorolásáról. A CVE célja, hogy egyfajta standard-dé váljon a sebezhetőségeket felsoroló adatbázisok között, az elnevezéseket illetően. Egy érdekes újdonság az OVAL (Open Vulnerability and Assessment Language) mely szintén a MITRE kezdeményezése. Ez az adatbázis már lehetővé teszi az operációs rendszer szerinti keresést, pontos leírást ad arról, hogy mely feltételek teljesülése esetén áll fenn az adott sebezhetőség, a lehetséges javításról is tesz ajánlatot. A honlapról letölthető segédeszközök segítségével ellenőrizhető, hogy az adott számítógép ki van-e téve egy sebezhetőségnek? A jövőben megjelenő programok az OVAL által előállított „ellenőrzési lista” alapján ellenőrizhetik a rendszereket Ez az adatbázis operációs rendszereket és az operációs rendszerekhez „közeli” programokat érintő

sebezhetőségekkel és javításukkal foglalkozik egyelőre További információ: 17 • http://www.cvemitreorg • http://www.mitreorg • http://oval.mitreorg 2.52 ICAT Az ICAT a NIST által létrehozott és üzemeltetetett sebezhetőség adatbázis. Ebben az adatbázisban már különféle felhasználói programok sebezhetőségei is szerepelnek Az adatbázisban a legkülönfélébb feltételek szerint végezhetünk kereséseket, ez az oldal biztosítja talán a legsokrétűbb keresési lehetőséget. Az adatbázis CVE kompatibilis, ami annyit jelent, hogy a sebezhetőségek neve, kódja stb ugyanaz, mint a CVE adatbázisban Ez az adatbázis is természetesen tartalmaz kereszthivatkozásokat más adatbázisok bejegyzéseire E-mail címünk és használt szoftvereink megadása után a rendszer képes „riasztó üzeneteket” küldeni, ha egy, a szoftvereinket érintő sebezhetőség kerül napvilágra. További információ: • http://icat.nistgov/icatcfm 2.53

SECUNIA A SECUNIA adatbázis több mint 4500 termék sebezhetőségét tartalmazza. Az adatbázis csak CVE hivatkozásokat tartalmaz, illetve a SECUNIA saját azonosítója szerint rendszerezettek a sebezhetőségek. Az adatbázis a lehetséges megoldásra is segítséget nyújt az elérhető javítások linkjeinek megadásával. További információ: • http://secunia.com 2.54 BUGTRAQ 18 CVE hivatkozásokat tartalmazó adatbázis. Nagyon sok sebezhetőségnek még nincs is CVE besorolása de, az adatbázisban már szerepel. A CVE hivatkozáson túl saját azonosítót használ az adatbázis. A hiba leírásán túl az adatbázis segít a javítás megtalálásában, sőt nagyon sokszor lehetőség van a hiba „tesztelésére” is a saját számítógépünkön További információ: • http://www.securityfocuscom/bid 2.55 X-FORCE CVE kompatibilis adatbázis, mely több mint 13000 db sebezhetőséget tartalmaz. Az adatbázis tartalmazza a sebezhetőség más, jelentős

adatbázisban való előfordulásának azonosítóját. Címszavas keresés áll rendelkezésre a hibák és sebezhetőségek közötti keresésre. További információ: • http://xforce.issnet/xforce/searchphp 2.56 CERT (Computer Emergency Response Team) Az első CERT® központot 1988-ban hozták létre az Egyesül Államok Carnegie Mellon egyetemén. Azóta már a világ sok országa létrehozta a maga egy vagy több CERT központját A CERT központok száma a világon bőven 100 db fölötti. A magyar CERT központ 1998-ban alakult Hun-CERT néven. A CERT központok tevékenységét a Hun-CERT oldalon található bemutatkozó szöveg jól leírja. A szöveg a következő: „A Hun-CERT az MTA SZTAKI-ban működő csoport, amely az Internet Szolgáltatók Tanácsának (ISZT) támogatásával jött létre és működik. Feladata, hogy az ISZT tagszervezeteinél előforduló hálózati incidensek felderítésénél, elemzésénél és kezelésénél segítséget nyújtson.

További célja a biztonsági tudatosság növelése. Ez utóbbi tevékenység nem elsősorban a hiva- 19 tásszerűen számítástechnikával foglalkozókat célozza meg, hanem az ISZT tagok nagyszámú felhasználóinak kíván olyan információt nyújtani, amely képessé teszi őket az Internet használatával együtt járó kockázatok minél teljesebb megértésére és a sikeres védekezésre. Lapjainkon rövid ismertetők, hosszabb tanulmányok is megtalálhatók, valamint a különböző rendszerek, alkalmazások sebezhetőségéről olvashatnak híreket” Több CERT központ is kezel sebezhetőség és incidens adatbázisokat. A CERT központok által karbantartott sebezhetőség adatbázisok CVE kompatibilisek és a hiba javítására is tesznek ajánlatot. CERT incidens bejelentő formanyomtatvány Az áldozatok, akiket támadás ért, lehetőségük van a központnak jelenteni az esetet. A CERT központ erre egy saját incidens bejelentő „formanyomtatvány”

biztosít. A nyomtatványon a következő adatokat kell kitölteni: A bejelentő adatai: név, szervezet, a cég tevékenységi köre, e-mail cím, telefonszám, egyéb információ Az érintett számítógép ada- A hoszt neve vagy IP címe, időzóna, a számítógép műkötai (több érintett számítógép désének oka, célja esetén a sor megismételhető): A támadás forrása (több A hoszt neve vagy IP címe, időzóna, kapcsolatba léptek-e forrás számítógép esetén a a támadóval? sor megismételhető): Az incidens kezelésének becsült költsége Az incidens leírása: dátum, behatolási technikák, a behatoló által használt eszközök, szoftver verziók és a javítócsomagok állapota, a behatolásra használt eszköz kimenete, a kihasznált sebezhetőség részletes leírása, a támadás forrása, valamint minden egyéb hasznosnak vélt információ. 5. ábra CERT központ incidens bejelentő formanyomtatvány További információ: 20 •

http:// www.kbcertorg/vuls/ • http://www.certorg • http://www.certhu 2.57 IETF (The Internet Engineering Task Force) Az Internet Engineering Task Force (IETF) kutatók, szakemberek, fejlesztők nemzetközi közössége. Az IETF különböző témakörökkel foglalkozó csoportokra oszlik, az egyes csoportok munkája az adott területen történő kutatások folytatása és újítások kidolgozása. A társuláshoz bárki csatlakozhat, aki a témák iránt érdeklődik. A dolgozat szempontjából két csoport munkáját emelném ki Ennek a két csoportnak a munkája meghatározó lehet a jövőben megjelenő behatolás-érzékelő, behatolás-megelőző rendszerek szempontjából. Ezek a csoportok a következők: Intrusion Detection Exchange Format (IDWG) Az IDWG csoport a behatolás-érzékelő rendszerek adatcseréjével és kommunikációjával foglalkozik. A csoport feladatai a következő dokumentumok létrehozása: • Egy előfeltétel dokumentum, mely leírja a

funkcionális követelményeit a behatolásérzékelő rendszerek közötti, illetve a behatolás-érzékelő rendszerek és a felügyelő, karbantartó rendszerek közötti kommunikáció feltételeit. • Egy egyszerű behatolás leíró nyelv specifikációja, mely leírja a használt adatformátumokat az információcsere folyamán. • Egy keretdokumentum kidolgozása, mely megnevezi azt a már létező protokollt, amely a legalkalmasabb a behatolás érzékelő rendszerek közötti adatcsere lebonyolítá- 21 sára és leírja azt is, hogy ezeket az adatokat miképpen kell implementálni ebbe a protokollba. Extended Incident Handling (INCH) Az Incident Handling (INCH) csoport feladata, egy olyan adatformátum kidolgozása, mellyel az incidenskezelő központok (CSIRT) megoszthatják egymás között a különféle incidensek adatait. Egy ilyen incidenskezelő központ például Hun-CERT is A csoport által kifejlesztett formátum a jövőbeni kommunikácó alapja lehet

a különféle biztonsággal foglalkozó szervezetek között. Ilyenek az Internet szolgáltatók, CSIRT központok, távoli biztonsági felügyeletet biztosító szervezetek, stb. További információ: • http://www.ietforg/ • http://www.ietforg/htmlcharters/inch-charterhtml • http://www.ietforg/htmlcharters/idwg-charterhtml 22 2.58 Mi a teendő, ha incidenst észlelünk? Az alábbi, pontokba szedett leírás segítséget nyújthat abban, hogy mik a teendők akkor, amikor valamilyen incidens áldozatává válunk. [22] 1. lépés: Maradj nyugodt! Még egy egészen apró kis incidens is mindenkit stresszes állapotba hoz. Ilyenkor a kommunikáció és az együttműködés nehézkessé válhat De a nyugodtságod segít abban, hogy súlyos hibát ne kövess el. Különben is, a legtöbb incidens nem olyan, mint amilyennek első látásra tűnik. 2. lépés: Vedd elő a jegyzeteidet! Vegyél elő kézikönyvet! Nyisd ki az incidensek azonosításánál! Ezek után

gondold végig a lényeges tennivalókat Miközben ezt teszed, ne felejtkezz meg arról sem, hogy a feljegyzéseid bizonyítékként is szolgálhatnak. Válaszolj a négy kérdésre: ki, mit, mikor, hol és a további kettőre: miért és hogyan! Egy kis magnetofon hasznos lehet 3. lépés: Értesítsd a megfelelő embereket és kérj segítséget! Szólj a biztonsági felelősnek és a főnöködnek! Kérd meg a munka-társaidat, hogy segítsenek az incidenskezelés folyamatában! Kérd meg a kollégáidat, hogy készítsenek pontos feljegyzést arról, hogy kivel beszélgetettek és partnereik mit mondtak! Ellenőrizd, hogy valóban azt teszik-e! 4. lépés: Juttasd érvényre azt az elvet, hogy „csak az tudjon az incidensről, akinek tudnia kell”. A lehető legkevesebb embert szólj az esetről Emlékeztesd kollégáidat, hogy őket megbízhatóknak tartod, és ezért számítasz a diszkréciójukra Kerüld a spekulációkat, kivéve, ha éppen döntened kell, hogy mit

tegyél. Nagyon gyakori, hogy az incidensről szóló kezdeti információ megtévesztő, és a kidolgozott munkatervedet menetközben el kell dobnod 5. lépés: Használj független kommunikációs eszközt! Ha a számítógépeket érte az incidens, akkor az incidenskezelés során kerüld azt! Inkább telefont vagy faxot használj! Ne küldj az incidensről semmilyen információt elektronikus levélben, talk vagy chat formában, vagy news-on keresztül: az üzenetet a támadó elfoghatja és akár a helyzetedet is tovább ronthatja. Ha mégis számítógépet használsz, kódolj minden elektronikus levelet! 23 6. lépés: Elemezd a helyzetet! Tedd meg a szükséges lépéseket, nehogy a probléma súlyosabbá váljon! Általában ez azt jelenti, hogy a rendszert húzd le a hálózatról, bár a vezetőséggel való egyeztetés után az a döntés is születhet, hogy maradjon meg a kapcsolat, hogy a támadót elfoghassátok. 7. lépés: Azonnal készíts másolatot az

érintett rendszerről, ha úgy véled, hogy incidens történt Új médiát használj! Ha lehet, bináris vagy „bitről bitre” másolatot készíts 8. lépés: Véglegesen old meg a problémát! Azonosítsd, mi ment tönkre, ha tudod Javítsd ki azokat a hibákat, ami lehetővé tette az incidens bekövetkeztét. 9. lépés: Állítsd vissza a normális menetet! Miután ellenőrizted, hogy a korábbi mentésed még ép, incidens nyomai azon még nincsenek, állítsd vissza erről a rendszert és figyeld, hogy helyesen működik-e. Tanulj a tapasztalatokból, hogy legközelebb n(s)e érjen felkészületlenül az incidens. A dolgozat további részében olyan rendszereket mutatok be melyek a védekezés, illetve megelőzés eszközei. A behatolásokkal foglalkozó technikákat a következő csoportokba soroljuk [17] alapján: • Megelőzés (prevention) - az a folyamat, amikor a behatolásnak elejét veszik, vagy legalábbis a sikeres behatolás valószínűségét komolyan

csökkentik. Ilyenek lehetnek például a rendszerek hibátlan tervezése/telepítése, biztonsági hibák feltárására szolgáló eszközök alkalmazása, tűzfalak elhelyezése stb. Ebbe a csoportba tartoznak a későbbiekben bemutatásra kerülő behatolás-megelőző rendszerek (IPS) és a tűzfalak is • Elhárítás (preemption) - egy valószínű támadóval szemben határozott fellépés, hogy ezzel egy későbbi behatolás valószínűsége csökkenjen. Például: a renitenskedő, a biztonsági szabályokat áthágó felhasználók jogainak csökkentése, kizárása • Elijesztés (deterrence) - az érintett rendszer körül olyan látszat keltése, hogy nem éri meg a behatolni. Például ennek eszköze lehet az álcázás (a rendszer értékeinek, tartalmának eltitkolása), a felhasználók figyelmeztetése a biztonsági szabályokra és a le- 24 hetséges büntetésekre, a monitorozás és egyéb figyelőrendszerek meglétének hangsúlyozása stb. •

Eltérítés (deflecion) - a behatolóban azt az érzést keltik, hogy sikeresen tevékenykedett, miközben csak egy felállított csapdába csalták, ahol ellenőrzött körülmények között figyelhetik meg a lépéseit. Ilyen lehet például, amikor a támadó azt hiszi, hogy sikeresen feltört egy titkos azonosító/jelszó párost, pedig csak egy mesterséges környezetbe került • Észlelés (detection) - azokat a technikákat foglalja magába, amely megkülönbözteti a normális rendszerhasználatot a rosszindulatú behatolástól, és ez utóbbi esetben figyelmeztetést ad le. Ide tartoznak a későbbiekben bemutatásra kerülő behatolásérzékelő rendszerek (IDS) • Válaszlépés (countermeasure) - olyan technikákat foglalja magába, amelynek során rendszer az észlelt behatolásra különböző akciókat indít autonóm módon. Ilyen lehetnek például a személyzet riasztása, külső felhasználók újbóli authentikálása, a rendszerválaszok lassítása,

parancsok végrehajtásának korlátozása stb 25 3. Tűzfalak bemutatása Történet Az első tűzfalak csomagszűrő tűzfalak voltak. Ezeket a tűzfalakat szokás első generációs tűzfalaknak is nevezni 1988-ban Jeff Mogul, a Digital Equipment Corporation-nél publikálta az első csomagszűrő tűzfal leírását „Simple and Flexible Datagram Access Controls for Unixbased Gateways.” címmel [9] Ebben a tanulmányban Mogul leírja egy szabályok által vezérelt „csomagszűrő” integrációját a Unix kernelébe 1989-ben a MIPS Computer vállalatnál, David Koblas megalkotta SOCKS-ot, megteremtve evvel a Circuit-level átjárók alapjait. Az 1989-1990 években Dave Presotto és Howard Trickey az AT&T Bell Laboratories-nál megalkották és implementálták a második generációs tűzfal architektúráját, sőt a harmadik generációs tűzfal „kitalálása” is a nevükhöz fűződik, habár eredményeiket sohasem publikálták. 1990-91-ben, Bill Cheswick az

AT&T Bell Laboratories munkatársa, és Marcus Ranum a Digital Equipment Corporation-től kifejlesztették az alkalmazás szintű tűzfalak modelljét. Az első kereskedelmi termék a DEC SEAL (Secure External Access Link) is ebből a rendszerből született meg. 1992-ben, David Koblas és Michelle R. Koblas bejelentették a SOCKS első implementációját 1992-ben, Bob Braden és Annette DeSchon az USC’s Information Sciences Institute-nál elkezdték a dinamikus csomagszűrő tűzfal kifejlesztését, melyet „Visas” neveztek el. 1994-ben a Check Point Software megjelentette az első kereskedelmi forgalomban kapható, negyedik generációs tűzfalat, a Firewall-1-et. 1996-ban, Scott Wiegel, a Global Internet Software Group, Inc. kutatója megalkotta az ötödik generációs tűzfal, a Kernel proxy architektúráját. Bemutatás A tűzfal két hálózat között lévő olyan védelmi eszköz, amely a hálózat mindkét irányában folyó forgalomra előzetesen beállított

biztonsági szabályokat kényszerít. A tűzfal csak a rajta keresztülhaladó forgalmat képes szabályozni. Többféle elven működő tűzfal létezik, a követ- 26 kezőkben ezen elvek bemutatása következik, előnyeikkel, hátrányaikkal. Azt, hogy melyik jobb, melyik rosszabb, nehéz lenne megmondani, az adott környezettől és igényektől is függ, hogy mely megoldás a hatékonyabb. A tűzfalak bemutatása a [10, 11, 12, 13] alapján történik A következők könnyebb megértésének érdekében, az alábbi ábra mutatja a jól ismert OSI és TCP/IP modell rétegeit, melyekre a téma tárgyalása során sűrűn hivatkozok. Az eltérő elven működő tűzfalak e rétegek különböző szintjein vizsgálódnak. 6. ábra Az OSI és TCP/IP modell Forrás: http://www.vicomsoftcom/knowledge/reference/firewalls1html 3.1 Csomagszűrő tűzfalak A csomagszűrő tűzfalakat szokás első generációs tűzfalaknak is nevezni. Az ilyen tűzfalak az OSI és a TCP/IP protokoll

3. rétegében végzik munkájukat Az alkalmazási réteg adataival nem foglalkoznak, a tartalmuk a döntést nem befolyásolja. A csomagok vizsgálatánál a csomagok fejlécét vizsgálják meg Az IP szint minden esetben kiértékelésre kerül, azaz a döntést befolyásolja a csomag forrás és cél címe, esetleges fragmentálási adatai, illetve ritka esetben még az IP opciók értékei is. A legtöbb implementáció esetében kiértékelésre kerül a 4 réteg is. Az alsóbb réteg vizsgálata további információkat jelent, mely a döntési mechanizmus pontosabb működését eredményezi Ezen a szinten megjelenő TCP flagek, illetve portok vizsgála- 27 ta további szűrési feltételeket eredményez. A csomagszűrő tűzfalak döntési mechanizmusa szabálylistákon alapszik. Ezek a szabályok feltételrendszereket írnak le A feltételek teljesülése esetén a csomagot továbbítja, vagy eldobja a tűzfal A csomagszűrők tipikusan a következő adatok alapján

döntenek a csomagok sorsáról: • A csomag forráscíme (Pl. a 19216801 - 1921680255 tartó tartomány engedélyezett, a többi forrás tiltott) • A csomag célcíme (Pl. a 19216801 címre irányít minden bejövő forgalmat a tűzfal) • Protokoll típusa (pl. TCP, UDP, ICMP) • Fragmentálási adatok. • Az interfész, ahová a csomag érkezik. • A kapcsolat állapota (pl. SYN, SYN/ACK, FIN) • A forgalom iránya (kimenő, bejövő). A csomagok vizsgálata során a tűzfal az alábbi három dolgot végzi: • Ha az adott csomagra nem talál illeszthető szabályt, a csomagot eldobja. • Ha olyan csomag érkezik, melyhez talál engedélyező szabályt a tűzfal, akkor továbbítja a csomagot. • Ha az adott csomagot elutasító szabályt talál, a csomagot eldobja. Az eldobás egyes eseteiben a küldőt értesítik a csomag eldobásáról. A felállított szabályok mintegy láncként kapcsolódnak egymáshoz. A szabályok sorrendje éppen ezért

nagyon fontos az elemzés hatékonysága és a tűzfal terhelésének szempontjából Érdemes a szabályrendszert úgy felépíteni, hogy az egyszerű tiltó vagy engedélyező szabályok a döntési lánc elején legyenek. A finomabb feltételeket tartalmazó szabályokat a lánc alsóbb szintjein helyezzük el. A csomagszűrők felépítésükből, és működésükből kifolyólag nem alkalmasak bonyolult igények implementálására, az átmenő forgalom összetett szűrésére, kapcsolatok követésére A beérkező csomagokat, mint egymástól különálló adatokat kezeli a tűzfal, melynek eredményeként nincs lehetőség a TCP kapcsolatok állapotának megbízható nyomon követésére. A megbízható tűzfalazás érdekében ilyen nyomonkövetést igényel a FTP protokoll, ahol a 21-es porton csak a kapcsolat vezérlése történik. A tényleges adatforgalom 28 véletlenszerű (előre egyeztetett) portokon történik. Az ilyen esetekben a csomagszűrő tűzfalak

kénytelenek beletekinteni az első csatorna adatrészébe is, hogy kinyerjék belőle a második csatorna port számára vonatkozó információt. Tulajdonképpen elemzés az adatrészben nem történik, csupán az adott szolgáltatás kiszolgálásához szükséges információk kinyerése történik. A csomagszűrő tűzfalak lehetőségei korlátozottak, egyre ritkábban találunk tisztán csak csomagszűrő technológiát alkalmazó megoldásokat. Tisztán csomagszűrést alkalmazva nagyon sok feladat nem oldható meg A csomagszűrő tűzfalak előnyei: • Gyorsabban működnek, mint a más technológiát alkalmazó tűzfalak. • Egy egyszerű szabállyal védeni tudjuk akár az egész hálózatot. • A csomagszűrők nem igénylik a védett hálózat klienseinek átkonfigurálását. • Támogatják a NAT-ot (Network Address Translation), és a PAT-ot (Port Address Translation) amikkel a külső hálózat számára láthatatlanná tehetjük a belső IPcímeket,

portokat. A csomagszűrő tűzfalak hátrányai: • A csomagszűrő tűzfalak nem értik az alkalmazás szintű protokollokat. • A csomagszűrő tűzfalak nem állapottartóak, így nehéz az olyan protokollok nyomon követése, mint például az FTP protokoll. • A csomagszűrő tűzfalaknak csak minimális lehetőségük van a csomagok tartalmának módosítására. • A döntések meghozatalánál a rendelkezésre álló adatok csak 3-5%-át veszik figyelembe. • Közvetlen kapcsolatot engedélyez egy külső hoszt és a védett belső hoszt között. • Komplexebb esetben a szabályrendszer áttekinthetetlenné válhat. 29 3.2 Circuit-level vagy SOCKS tűzfalak A circuit-level tűzfalak a második generációs tűzfalak. A kapcsolatok vizsgálását az OSI modell 5 rétegben, illetve a TCP/IP modell 4 rétegében végzik Mielőtt megnyitnának egy kapcsolatot, ellenőrzik a kapcsolat kiépítésének folyamatát Ha a kapcsolat létrejött, megindulhat a

kommunikáció a csatornán. A circuit-level tűzfalak egy táblázatban tartják nyilván a legális kapcsolatokhoz tartozó adatokat. Ha a kapcsolat felépült, a circuit-level tűzfalak általában a következő adatokat tárolják el a kapcsolatról: • A kapcsolat egyedi azonosítója, melyet a tűzfal ad neki. • A kapcsolat állapota: handshake, létrejött, vagy lezárás alatt. • A forrás IP címe, amely felől az adatok érkeznek. • A cél IP címe, ahová a beérkező adatokat továbbítani kell. • A fizikai interfész melyen keresztül az adatok érkeznek. • A fizikai interfész melyen keresztül az adatok távoznak. A legtöbb Circuit-level tűzfal megvalósítása a SOCKS protokollon keresztül történik. A SOCKS egy hálózati protokoll, mely kliens-server alapú. Két jelentősebb verziójú SOCKS protokoll létezik. A SOCKS V4 és a SOCKS V5 A SOCKS V4 nem támogatja a felhasználó azonosítását és az UDP proxyt. A SOCKS V5 támogatja

ezeket Ha egy alkalmazás kapcsolódni akar egy külső szerverhez, akkor a kliens számítógépen futó SOCKS kliens elküldi az általa támogatott azonosítási eljárásokat. Ha a tűzfalban lévő SOCKS szerver támogatja ezek közül az azonosítási eljárások közül valamelyiket, akkor válaszában közli ezt a klienssel. A kliens ezután azonosítja magát a kért eljárással. Ha nincs ilyen közös azonosítási eljárás, akkor a kapcsolatot dobja a szerver Az azonosítás után a kliens közli a szerverrel, hogy hová szeretne kapcsolódni. Ha engedélyezett a kapcsolat, akkor a SOCKS szerver kapcsolódik a kliens program által kijelölt szerverhez, és kiépíti közöttük a virtuális kapcsolatot. A kapcsolódás csak akkor lehetséges, ha ez a kérés nem tiltott kapcsolat kiépítését kéri Ezek után a szerver értesíti a klienst, hogy a kapcsolat létrejött, indulhat a kommunikáció. Tulajdonképpen két kapcsolatot tart fent a tűzfal, egyet a kliens

felé, míg a másikat a kért szerver felé. A kap- 30 csolat kiépülése után az adatforgalmat a kliens program a modul segítségével a SOCKS proxyn keresztül a végzi, ekkor a csomagok már nem mennek át további ellenőrzésen. Az ellenőrzés annyiból áll, hogy a küldött, illetve fogadott adatok megfelelnek-e a kapcsolat létrehozásakor rögzített adatoknak Ahhoz, hogy a tűzfal érvényesnek minősítsen egy kapcsolatot, a kapcsolat kiépítésének minden fázisát ellenőrzi a rendszer. Csak azok a csomagok juthatnak át a tűzfalon, amelyekhez tartozik érvényes kapcsolati bejegyzés a táblázatban. Ha a kapcsolat lezárul, akkor a tűzfal törli a kapcsolathoz tartozó bejegyzését a táblázatából. Ez a működési elv nagyon gyors működést eredményez. A tűzfal működési elvéből következik a NAT képessége, hisz a SOCKS proxy mintegy átjáróként szerpel a kommunikációban, a külvilág felé a tűzfal jelenik meg. A SOCKS működési

elvéből következik, hogy klasszikus értelemben csomagszűrőnek nem nevezhető, mivel csomagok a kliens és a szerver között nem közlekednek. Azonban nem tekinthetőek a SOCKS tűzfalalak alkalmazásszintű tűzfalnak sem, mivel a forgalom nem alkalmazási szinten kerül szűrésre, hanem csak hálózati szinten Circuit-level tűzfalak előnyei: • Általában gyorsabbak, mint az alkalmazás szintű tűzfalak, mivel kevesebb adattal dolgoznak. • A circuit-level tűzfalak egyszerűen képesek az egész hálózat védelmére, hasonlóan a csomagszűrő tűzfalakhoz. • Nincs közvetlen kapcsolat az alkalmazás kliens és az alkalmazás szerver között. • A hálózat belső IP címeinek elbújtatása a külvilág elől (NAT). Circuit-level tűzfalak hátrányai: • A Circuit-level tűzfalak mivel csak olyan rétegig mennek le az ellenőrzésben, amely nem elegendő a csomagok tartalmának elemzésére ezért nem értik a különböző protokollok által küldött

csomagok „lényegét”. Ezáltal nem tudnak különbséget tenni csomag és csomag között Ha a kapcsolat egyszer felépült a csatornán áthaladó csomagok a továbbiakban csak minimális ellenőrzésen mennek át. 31 • Kliens oldalon külön program szükséges a működéséhez. A kliens oldali program karbantartása, frissítése, követése plusz problémaként jelentkezik 3.3 Alkalmazás szintű vagy proxy tűzfalak Az alkalmazás szintű tűzfalak, a harmadik generációs tűzfalak, melyek az alkalmazási rétegben ellenőrzik a csomagokat. Minden adatcsomagot alkalmazás szinten vizsgálnak, nyilván tartják a kapcsolat állapotát, és mivel értik a csomagok jelentését képesek egyéb ellenőrzések végrehajtására is, ilyenek például a felhasználó nevek, jelszavak. 7. ábra Az alkalmazás szintű tűzfal felépítése A legtöbb alkalmazás szintű tűzfal egy speciális alkalmazást, proxyt futtat. Ezek a programok kezelik a tűzfalon áthaladó

forgalmat, pl. HTTP, FTP Ezek a programok speciálisan a kezelendő protokollhoz készülnek, így a teljes forgalom elemzésére is képesek Minden ilyen proxy két alkalmazásból áll: egy poxy szerverből és egy proxy kliensből. A kliensek és a kiszolgálók között nem épül fel közvetlen kapcsolat, hanem mindketten a tűzfalon futó proxy alkalmazással kommunikálnak. A proxy szerver fogadja a belső hálózat felől érkező kéréseket A szerver megvizsgálja, hogy a kapcsolat nincs-e tiltva és, hogy a csomagok megfelelnek-e a protokoll szabványának? Ha mindent rendben talál, akkor a proxy szerver kapcsolódik 32 a proxy klienshez. A proxy kliens ezek után felépíti a tényleges kapcsolatot a kért számítógéppel A visszafelé irányuló forgalom hasonlóan történik A külső számítógép felveszi a kapcsolatot a proxy kliensével. A kliens ellenőrzés után továbbítja a proxy szervernek a kérést A szerver pedig felveszi a kapcsolatot a belső

hálózaton lévő számítógéppel Mivel minden protokollhoz külön proxy-ra van szükség, ezért ennek a módszernek a használata esetén rendelkezni kell az összes használni kívánt protokollhoz megfelelő proxyval. Ez nagyszámú protokoll esetén komoly költséget jelenthet. Az előnye a protokollonkénti proxyk alkalmazásának, hogy adott proxyn csak adott protokoll specifikációjának megfelelő kommunikáció folyhat. A proxy tűzfalak esetén nem okoz problémát a több portot használó protokollok kezelése sem, mivel a proxy az alkalmazásszintből minden információval rendelkezik az újabb kapcsolatok megnyitásához. A további csatornákon történő kommunikációt a proxy szintén ellenőrizheti. Több csatornás kapcsolatok (FTP) cél, illetve forrás címeinek NATolása sem igényli kiegészítő megoldások alkalmazását. Az alkalmazás szintű tűzfalak előnyei: • A tűzfal értelmezni tudja a protokollon folyó kommunikációt, ezáltal

hatékonyabb védelemre képes.(Pl HTTP, FTP) • Mivel a protokollt elemzik, így lehetőség van a protokoll egyes parancsainak tiltására. (Pl. HTTP protokoll GET parancsának tiltása) • Képesek az adatcsomagok feldolgozására és módosítására. • Nincs közvetlen kapcsolat a belső kliens és a külső szerver között. • Képesek a belső IP címeket elrejteni a külvilág elől. • Mivel transzparens módon működnek ezért a felhasználó számára „láthatatlanok”. A felhasználói programokon nem szükséges extra beállításokat végezni. • A proxy szerverek képesek a hálózati csomagok irányítására. (a bejövő HTTP forgalmat egy HTTP szerverre irányítják) • A protokollok értelmezésével képesek egyéb, kiegészítő tevékenységek ellátására. Ilyen például az URL-ek szűrése. • Sokkal részletesebb loggolási lehetőséggel bírnak, mely adatok megkönnyítik a rendszeradminisztrátorok munkáját. Az alkalmazás

szintű tűzfalak hátrányai: 33 • Az adatok kétszeres feldolgozása miatt lassabban működnek, mint a csomagszűrő, vagy a circuit-level tűzfalak. • Általánosságban igaz, hogy minden újabb protokoll elemzéséhez a tűzfalnak rendelkeznie kell egy újabb proxyval, mely az adott protokollt ismeri. Ha egy újfajta protokoll jelenik meg, akkor az esetleg hosszabb várakozást is jelenthet, míg a tűzfal proxyja elkészül. 3.4 Dinamikus vagy állapottartó csomagszűrő tűzfalak A dinamikus csomagszűrő tűzfalak a negyedik generáció tagjai. A csomagszűrő tűzfalakhoz hasonlóan működnek, azok gyengeségeit megpróbálják kiküszöbölni. A hatékonyabb elemzéshez a tűzfalnak szüksége van arra, hogy azonosítani tudja a kapcsolat kezdetét és végét, valamint a kettő között zajló adatforgalmat. Ha erre képes, akkor ki tudja szűrni a kapcsolatba nem illő csomagokat, amik potenciálisan veszélyesek. A feladatot állapottartással oldják meg A

beérkező csomagokat a tűzfal addig tárolja, amíg a döntéshez elegendő információt össze nem gyűjti. A tűzfal - hasonlóan a csomagszűrő tűzfalakhoz - szabályláncokkal dolgozik A döntések meghozatalánál a tűzfal már nem csak a csomagok alapján hozza meg döntéseit, hanem a csomagok közötti kapcsolatokat is figyelembe veszi. Ez a tulajdonság a kapcsolatorientált protokollok esetén nagyon hasznos (pl TCP) A kapcsolatok állapotának nyomon követése az olyan, több porton folyó kommunikáció nyomon követését is lehetővé teszi, mint például az FTP A csomagok megkülönböztetése során a tűzfal figyelembe veszi, hogy adott csomag csak adott helyen jelenhet meg a kommunikációban Egy adatokat tartalmazó csomag nem előzheti meg a kapcsolat kiépülését, és nem érkezhet a kapcsolat lezárását követően sem. A technológia korlátozottan képes az UDP protokoll szűrésére is. Az UDP protokoll egy kapcsolat nélküli protokoll Általában

„egyszerű”, kisebb adatok cseréjére használják Ilyenek például a DNS lekérdezések. A tűzfal a beérkező UDP kérésekhez felépít egy virtuális kapcsolatot A válaszcsomag megérkezése esetén a csomagot továbbengedi Ha a válaszcsomag nem érkezik meg egy adott időn belül a kapcsolat érvénytelenné válik. Kéretlen UDP csomagok nem tudják elárasztani a védett hálózatot A tűzfal az ICMP protokoll korlátozott kezelésére is képes Az ICMP protokollt például a számítógépek közötti kapcsolatok tesztelésére használt ping program alkalmazza. A hálózati rétegek közötti vizsgálat mélységében azonban 34 nincs különbség a két tűzfaltechnológia között, emiatt a mélyebb, alkalmazásszintű csomagelemzésre nincs mód. A dinamikus csomagszűrő további előnyei (a statikus csomagszűrő előnyei mellett): • Támogatja a több csatornát használó protokollokat (pl. FTP) • A kapcsolatok nyomon követése által nagyobb

védelmi képességgel rendelkezik, mint a statikus csomagszűrők. 3.5 Kernel proxy, moduláris proxy tűzfalak A moduláris proxy tűzfalak talán a legfejlettebb tűzfaltechnológia. A csomagok legteljesebb elemzésére képesek. Transzparensek, képesek az alkalmazásszintű elemzésre, csomagszűrő képességekkel is rendelkeznek. Az alapvető különbség a hagyományos transzparens tűzfalak és a moduláris tűzfalak között, hogy míg a transzparens tűzfalak minden protokoll értelmezésére, elemzésére különálló tűzfal komponenssel rendelkeznek, amelyek nem képesek együttműködésre, addig a moduláris proxy részei, moduljai képesek együtt működni. A különböző protokollokhoz tartozó proxyk csak a saját feladatukat látják el. Például a kapcsolatok kiépítését egy proxy végzi Ha ez a modul mindent rendben talál, tovább adja egy olyan proxynak a kapcsolatot, amelyikhez tartozik (FTP, HTTP, POP3 stb.) A proxyk egymástól függetlenül,

különállóan, mégis egymás „keze alá” dolgoznak Manapság egyre több az összetett alkalmazásszintű protokollt használó program, erre egy példa a HTTPS protokoll. Ez a protokoll egy SSL protokollba bújtatott HTTP protokoll. Vagy ilyen az SSL protokollba bújtatott POP3 protokoll is. Ebben az esetben az SSL proxy kezeli az adacsomagokat amíg azok az SSL proxyn áthaladnak. Kitömörítik a kódolt csomagokat, ellenőrzik a protokoll szerinti megfelelősséget, majd továbbfeldolgozás végett átadják a HTTP proxynak A modularitásos felépítésből adódóan a tűzfalnak minden protokoll kezeléséhez különálló proxyval kell rendelkeznie. A módszer segítségével lehetőség nyílik a protokollok transzparens elemzésére, a kombinált protokollok elemzésére, szűrésére, valamint lehetőség van nem protokoll specifikus modul alkalmazására is. A proxy tűzfalak alkalmazásszintű jelenlétükből kifolyólag elvileg képesek lehetnek a teljes átmenő

adatforgalom elemzésére és befolyásolá- 35 sára. Ehhez két dolgot kell a proxy-nak teljesítenie: egyrészt ismernie kell a protokoll összes szabványos utasítását és metódusát, másrészt képesnek kell lennie a protokollban átvitt adat elemzésére. Az előbbit hívjuk mélyprotokoll-elemzésnek, míg az utóbbi a tartalom elemzés megvalósítását jelenti. A mélyprotokoll-elemzés tulajdonképpen azt jelenti, hogy a tűzfal ismeri az adott protokoll összes szabványos parancsát, utasításait, míg a tartalom elemzés a protokollal küldött adatok tartalmát képes értelmezni Ha a tűzfal ismeri a protokoll összes szabványos utasítását és képes a tartalom ellenőrzésére, ezáltal képes, például a szabványt sértő kommunikáció kizárására, tartalomszűrésre, víruskeresésre. Egy moduláris tűzfal segítségével lehetőség nyílik az eddigi tűzfalak által megoldhatatlan problémák biztonságosabb és gyorsabb megoldására, növelve

ezzel biztonságot. 36 4. Behatolás-érzékelő (IDS) rendszerek bemutatása Történet A behatolás-érzékelő rendszerek a hálózati illetve a számítógépes erőforrásokon olyan speciális események, nyomok után kutatnak, amelyek rosszindulatú tevékenységek, támadások jelei lehetnek. Kezdetben a rendszeradminisztrátorok a logfájlok elemzésével kutattak lehetséges támadások után. Az 1980-as évek elején James Anderson: Computer Security Threat Monitoring and Surveillance [2] című tanulmányának megszületéséhez kötik a behatolás-érzékelő rendszerek „születési” dátumát. Ebben a tanulmányban merül fel először, hogy a számítógép „nyomait” fel lehetne használni a felhasználói tevékenységek megfigyelésére, visszaélések kiderítésére. A tanulmány alapmű az IDS rendszerek világában. 1983 – ban az SRI International [3], és Dr. Dorothy Denning egy kormányzati program keretében kezdte el a kormányzat

számítógépeit és hálózatait figyelő rendszer fejlesztését Egy évvel később Dr. Denning részt vett az első IDS modell kidolgozásában és a rendszer megvalósításában Ez a rendszer volt az IDES (Intrusion Detection Expert System), mely egy szabályalapú szakértői rendszer volt 1984 – ben, az SRI cég kifejlesztett egy követő és analizáló rendszert is, mely az akkori ARPANET felhasználók adatait elemezte, vizsgálta. Az ARPANET hálózat az Internet elődje volt. Dr Denning kutatási és fejlesztési tapasztalataira támaszkodva elkészítette az An Intrusion Detection Model [4] című tanulmányt, mely megnyitotta az utat a kereskedelmi rendszerek fejlesztése felé. 1988 – ban, a Haystack project keretein belül a Lawrence Livermore Laboratories-nál [5] kifejlesztettek egy akkoriban újfajta elven működő IDS-t az amerikai légierő számára. Ez az IDS az elemzést előre definiált lenyomatok összehasonlításával végezte. A Haystack projekt, az

SRI és Dr. Denning munkája nagyban hozzájárult a hoszt-alapú IDS-ek fejlődéséhez 37 A 1990-es évek kezdetén UC Daviss Todd Heberlein kifejlesztette az NSM-et (Network Security Monitor) mely az első hálózat-alapú IDS volt. A Haystack csapattal együtt nevéhez fűződik az első hibrid IDS ötlete is. A kereskedelmi behatolás érzékelők fejlesztése az 1990 években kezdődött. A Haystack Labs volt az első kereskedelmi IDS-t előállító cég mely hoszt-alapú behatolás érzékelést végzett (Stalker). Az Air Forces Cryptologic Support Center kifejlesztette az ASIM-ot (Automated Security Measurement System) hogy felügyelje és monitorozza az amerikai légierő hálózatát. Az ASIM volt az első olyan IDS megoldás, mely egyesítette a szoftveres és hardveres megoldást a hálózat-alapú behatolás-érzékelésben. Az ASIM fejlesztői csapata 1994 – ben megalapította a Wheel Group-ot. A Wheel Group terméke – a NetRanger - volt az első kereskedelmi

forgalomban kapható, igazán életképes hálózat-alapú IDS. A behatolás-érzékelők piaca igazán 1997-ben kezdett el nőni, amikor az ISS nevű cég kifejlesztette RealSecure nevű hálózat-alapú IDS-ét. Rá egy évre a Cisco is megjelent a maga termékével, igaz a Wheel Group felvásárlásával sikerült mindez Habár mindkét rendszer a mai napig kapható és fejlesztik is őket, azóta számos IDS jelent meg a piacon. Bemutatás A behatolás-érzékelő rendszerek röviden szólva azt teszik, amit a nevük is sugall: érzékelik a lehetséges behatolásokat, támadásokat. Részletesebben mondva, olyan hardver vagy szoftver eszközök, melyeknek az a céljuk, hogy felismerjék a számítógépeket ért támadásokat, visszaéléseket illetve értesítsék a megfelelő személyeket, esetleg válaszlépéseket tegyenek. Ezek a rendszerek figyelik a számítógépek, illetve hálózatok folyamatait, forgalmait és a gyanúsnak vélt folyamatok esetén riasztanak,

beavatkoznak. Saját szabályrendszerük alapján eldöntik, hogy egy adott tevékenység a védett rendszeren illegális tevékenységnek minősül-e? Ha a válasz igen, akkor a rendszer valamilyen formában értesíti a felhasználót. Ez lehet például valamilyen elektronikus levél vagy egy kitöltött és elküldött incidens formanyomtatvány A legtöbb behatolás-érzékelő nemcsak a támadás felismerésére képes, hanem valamilyen válaszlé- 38 pést is tud tenni. Pl kilépteti a felhasználót, átkonfigurálja a tűzfalat, bontja a kapcsolatot, szkripteket futtat, stb. Az IDS rendszereket két nagy csoportba sorolhatjuk az alapján, hogy a kiértékelendő információt milyen módon gyűjtik össze. Azok a rendszerek melyek a hálózat forgalmát gyűjtik, monitorozzák hálózat-alapú IDS-nek (NIDS) nevezzük. A másik nagy csoport a hoszt-alapú IDS (HIDS) melyek munkaállomásokon futnak és az operációs rendszer, illetve a futó alkalmazások viselkedését

figyelik. A következőkben ezen behatolás-érzékelők rövid bemutatása következik előnyeikkel és hátrányaikkal [15] alapján. 4.1 IDS-ek osztályozása az információ forrása szerint 4.11 Host-alapú IDS (HIDS) A hoszt-alapú IDS-ek - mint a nevük is mutatja – egy adott számítógépre feltelepített rendszerek. Működésükhöz az információt a felügyelt gépből veszik, ezáltal nagyon precíz és megbízható elemzésre képesek Az operációs rendszer processzei, a felhasználói processzek, tevékenységek mind az elemzés rendelkezésére állnak Ellentétben a NIDS rendszerekkel képesek megfigyelni a támadás eredményét, célját. A futó processzek és felhasználói tevékenységek figyelésével és elemzésével pontosabb és precízebb riasztásra képesek. 8. ábra Egy tipikus HIDS topológia A sárgával jelölt számítógépek hoszt-alapú IDS-t futtatnak Forrás: http://www.windowsecuritycom/articles/Hids vs Nids Part1html 39 Hoszt-alapú

IDS előnyei: • A helyi események monitorozásával olyan támadásokat is észrevehet, amelyeket a hálózat-alapú IDS nem. • A hoszt-alapú IDS-ek alkalmazhatóak olyan környezetben is, ahol a hálózati forgalom kódolt. Az információ elemzése az adatok kódolása előtt (küldés esetén), vagy az adatok visszakódolása (fogadás esetén) után történik • A hoszt-alapú IDS-ek érzéketlenek a kapcsolt hálózatokra. Működésük szempontjából a hálózat topológiája közömbös. • A helyi események monitorozásával segíthet felderíteni különféle férgeket, trójai falovakat és egyéb kártékony programokat. Hoszt-alapú IDS hátrányai: • A hoszt alapú IDS-eket nehezebb konfigurálni és karbantartani, mivel minden egyes védeni kívánt hosztot külön kell menedzselni. • Mivel az esetlegesen megtámadott hoszton van az IDS, ezért maga is a támadás célpontjává vagy a támadás részévé válhat. • A teljes hálózatot

érintő támadást nem veszi észre, hiszen csak az adott hoszt felé irányuló forgalmat képes figyelni. • Szolgáltatás megtagadásos támadással gyakran magát az IDS-t is blokkolni lehet. • Ha a rendszer az operációs rendszer logfájljaiból szerzi az információkat, akkor eléggé operációs rendszerfüggő az IDS, illetve az elemzéshez használt logfájlok tárolásáról is gondoskodni kell. 40 • A hoszt-alapú IDS-ek a védett számítógép erőforrásait használják, ezáltal csökkentik a védett számítógép szabad kapacitását. Néhány példa a ma kapható HIDS rendszerekből Data Sentinel, Host IDS, Intruder Alert, Secuplat Host IDS. 4.111 Alkalmazás-alapú IDS Az alkalmazás-alapú IDS-ek egy speciális alcsoportja a hoszt-alapú IDS-eknek, mégis egyes tanulmányok külön csoportként említik meg. Az alkalmazás-alapú IDS-ek a különböző felhasználói programok működése során létrejövő logfájlok elemzésével működnek A

felhasználói programmal való közvetlen kapcsolat a lehető legpontosabb elemzést teszi lehetővé az IDS számára. Alkalmazás-alapú IDS előnyei: • A felhasználó és a felhasználói program között helyezkednek el, ezért különösen alkalmasak az egyes felhasználók tevékenységeit figyelemmel kísérni. • Mivel szoros kapcsolatban vannak a felügyelt alkalmazással ezért kódolt környezetben is képesek működni. A felügyeletet a felhasználó „előtt” ellenőrzik, ahol a későbbiekben kódolt információ még kódolatlan formában jelenik meg Alkalmazás-alapú IDS hátrányai: • Az alkalmazás-alapú IDS-ek jobban sebezhetőek, mint a hoszt-alapú IDS-ek, mivel a felhasználói programok logfájljai kevésbé védettek a rosszindulatú támadásokkal szemben. 41 • Mivel az ilyen típusú IDS-ek gyakran a felhasználó és a program interaktivtásában bekövetkező eseményeket figyelik, ezért nem veszik észre, pl. a trójai falovak

tevékenységét 4.12 Hálózat-alapú IDS (NIDS) A ma kapható rendszerek túlnyomó többsége ebbe a kategóriába tartozik. Ezek a rendszerek a hálózati forgalom figyelésével végzik feladatukat. Figyelik a hálózat egészén vagy annak egy szegmensén áthaladó forgalmat és a „mögéjük” helyezett munkaállomásokat védik. Szemben a HIDS rendszerek helyi megfigyelésével a NIDS rendszerek az úgynevezett “packetsniffing” (szimatolás) technikájával gyűjtik össze a hálózaton utazó csomagokat. A NIDS rendszerek gyakran speciális szenzorok vagy a hálózat egy-egy számítógépén futó programok. Ezek az egységek figyelik és kiértékelik a hálózat forgalmát és az esetleges támadásokat jelentik egy központi felügyelő rendszernek. Az összegyűjtött adatokat gyakran összehasonlítják már ismert „lenyomatokkal”, ezáltal kideríthető, hogy az adott folyamat káros vagy ártalmatlan tevékenységet folytat-e? Ezeket a „lenyomat”

adatbázisokat aztán a NIDS működési elvétől függően frissítik, karbantartják esetleg a rendszer tanulása folyamán, elmenti az újabb „lenyomatot”. Ha valamilyen károsnak vélt folyamatot érzékel a rendszer, akkor valamilyen risztás, illetve a káros folyamat esetleges leállítása következik. A NIDS rendszereket kiszolgáló számítógépek, hardvereszközök nem végeznek más feladatot, ez által hatékonyan elrejthetők a hálózaton, ami esetleges betörés esetén megnehezíti létezésük és helyük felderítését Mivel a hálózat monitorozását és nem egy munkaállomás megfigyelését végzik – szemben a Host Based IDS-ekkel - ezáltal különösen alkalmasak a hálózaton kívülről érkező támadások felderítésére. 42 9. ábra Egy tipikus NIDS topológia A piros színű eszköz hálózat-alapú IDS-t futtat Forrás: http://www.windowsecuritycom/articles/Hids vs Nids Part1html Működési elvük miatt a NIDS rendszerek sokkal inkább

elosztható rendszerek és különösen alkalmasak a következő tevékenységek felderítésére: Hálózat-alapú IDS előnyei: • Néhány jól elhelyezett NIDS igen nagy hálózatok monitorozására és védelmére alkalmas. • A meglévő hálózatba minimális átszervezésével és kevés ráfordítással könnyen integrálhatóak. • A NIDS rendszereket igen könnyű ellenállóvá tenni a külső támadások ellen és mivel csak „megfigyelő” szerepet töltenek be a hálózaton, ezért könnyen láthatatlanok tudnak maradni a támadó elől. 43 • Szolgáltatás megtagadásos támadások felfedezésére a NIDS rendszerek a legalkalmasabbak. Ezek a támadások általában a hálózaton kívülről érkeznek és a csomagok, melyek elindítói illetve hordozói egy ilyen fajta támadásnak, a hálózat figyelésével kiszűrhetőek • Kevésbé operációs rendszertől függők, mivel a hálózaton utazó forgalmat figyelik szemben az operációs rendszer

logfájljaival. Hálózat-alapú IDS hátrányai: • Igen nagy és leterhelt hálózatok teljes forgalmát elemezni, átmenetileg letárolni problémás lehet, emiatt esetleg terheléses időszakban egy-egy támadási kísérletet a rendszer nem vesz észre. A probléma megoldására egyes NIDS rendszerek célhardvereken futnak, amelyek a feldolgozás sebességét növelik. • A ma használatos kapcsolt hálózatokon illetve dedikált portokon folyó forgalmat a NIDS nem látja. Nagyon sok switch nem rendelkezik monitorozó porttal mely nélkül, a NIDS nem tudja teljes mértékben ellátni feladatát, vagy csak a hálózat egy kisebb szegmensét látja, mely további NIDS-ek telepítését kívánja meg. • A NIDS rendszerek nem tudják feldolgozni, a titkosított csatornákon folyó adatokat. • A legtöbb NIDS rendszer nem tudja megállapítani, hogy a támadás sikeres vagy sikertelen volt-e, csak a támadást tudják észlelni. A riasztás után a rendszergazdának

kell ellenőriznie, hogy mi történt valójában. Néhány példa a ma kapható, illetve ingyenesen beszerezhető NIDS rendszerekből Shadow, Snort, Dragon, NFR, RealSecure, NetProwler, NetRanger. 44 4.121 Stack-alapú IDS A stack-alapú IDS-ek az egyik legújabb IDS technológia melyet egyesek a hálózat-alapú IDSek egy alcsoportjával azonosítanak. A technológia megvalósítása nagyon gyártó specifikus, de működésükre általánosan jellemző, hogy nagyon hardverközeli megoldást valósítanak meg. Az IDS-ek figyelik és elemzik a hálózati csomagokat, ahogy a különféle OSI layerek között egyre feljebb kerülnek, még mielőtt az operációs rendszer vagy a felhasználói program megkapná azokat. 4.13 Hibrid rendszerek A két különböző elven működő IDS-ben alkalmazott technika jelentősen eltér, mégis a két rendszer hatékonyan kiegészíti egymást. A felsorolt előnyök és hátrányok is azt mutatják, hogy a teljes körű védelem érdekében

mindkét rendszerre szükség van. A fő védelmi vonalat általában a hoszt-alapú IDS-ek jelentik, hisz rendszerközelibb megvalósításuk pontosabb elemzést tesz lehetővé. A hálózat-alapú IDS viszont nagyon hatékony a teljes hálózat monitorozásában, felügyeletében 4.2 IDS-ek osztályozása az alkalmazott technológia szerint Két fő technológia létezik az események analizálására, a támadások észlelésére. Az egyik a visszaélést érzékelő modell, a másik a rendellenességet érzékelő modell. Mindkét technológiának vannak előnyei és hátrányai, mégis a hatékonyabb rendszerek, a visszaélést érzékelő modellen alapulnak, mely rendszerek rendellenességet érzékelő rendszerkomponenseket is tartalmaznak. Visszaélést érzékelő modell - A visszaélést érzékelő modellen alapuló IDS esetében a különféle támadások és sebezhetőségek lenyomatait, ismérveit tárolja a rendszer, és ha olyan adatokat észlel, ami a tárolt

adatokkal egybeesik, akkor riaszt. A legtöbb kereskedelmi rendszer ezen a modellen alapul. 45 Rendellenességet érzékelő modell - A rendellenességet érzékelő modellen alapuló IDS-t először megtanítják arra, hogy az adott hálózaton, számítógépen melyek a normális események. Ha megtanult dolgoktól eltérő folyamatot azonosít a rendszer, akkor támadásnak veszi azt és riaszt. 4.21 Visszaélést érzékelő modell A visszaélést érzékelő modell működése során elemzi a rendszer folyamatait, események vagy események egy halmazának lenyomatait keresi és hasonlítja össze a saját adatbázisában tárolt támadás lenyomatokkal. Mivel ezeket a speciális támadás lenyomatokat gyakran hívják „signature”-nek is, ezért az ilyen modellt „signature based” érzékelésnek is nevezik. A ma használatos IDS-ek többségében minden támadásfajtához tartozik egy lenyomat az adatbázisban. Vannak azonban olyan rendszerek (ún state-based

rendszerek) melyek képesek egy lenyomat felhasználásával támadások egy csoportját érzékelni. A hoszt-alapú behatolás érzékelésnél egy példa a „signature”-re az egymás után történő háromszori hibás bejelentkezés. A hálózat-alapú rendszereknél egy „signature” lehet például a hálózati csomagok egy része vagy a hálózati forgalom egy része Egy támadás kezdete lehet például egy nem szabványos tartalmú TCP/IP fejléc Egy esetleges egyezés nem biztos, hogy támadást jelent, lehet, hogy a hálózatban bekövetkező rendellenesség okozza a hibás csomagokat és ez vált ki hamis pozitív riasztást. A visszaélést érzékelő modell főbb működési elvei: • Szakértő rendszerek – A szakértő rendszeren alapuló IDS-ben a tudásbázis ha-akkor felépítésű szabályokból áll össze. Az ilyen rendszereknél a feladat az, hogy nagyon jó „signature”-öket, szabályokat alkossanak, amelyek segítenek a támadás

felderítésében. Egy szabály egy támadás tulajdonságait, ismérveit tartalmazza. A szabályokat tartalmazó adatbázis könnyen bővíthető újabb szabályokkal, ugyanakkor megvannak a hátrányai is a dolognak Az újonnan megjelenő támadások ellen csak korlátozottan véd, ha véd egyáltalán, illetve ezek a szabályok rendszer specifikusak lehetnek, mely a hordozhatóságot csökkentheti. 46 • Modell alapú következtetés - Ez a módszer egy magasabb absztrakciós szinten végzi a kereséseket, mint a csak mintaillesztő rendszerek. A támadási mintákat egyéb kiegészítő információkkal egészítik ki, melyeket a keresés során a rendszer felhasznál Ez a technika hasznos az olyan támadások kiderítésére melyek lenyomatai nagyon hasonlóak, de mégsem azonosak. Lehetővé teszi kisebb, de relevánsabb adatok figyelését és elemzését, mely által kevesebb adat mentésére és karbantartására van szükség. Hátránya, hogy mivel szabály alapú

rendszerként működik, az új és még nem ismert támadások kiderítése nehéz feladat • Állapot átmeneti elemzés – Az állapot átmeneti elemzés az ismert támadások állapot átmeneti modelljével dolgozik. A rendszer a modell kezdeti állapotában tartózkodik alapállapotban. A támadó ténykedései folytán a rendszer a köztes állapotokon keresztül esetleg egy veszélyes állapotba kerül A modell állapot változókat, támadói tevékenységeket, és veszélyes állapotokat definiál, melyeken keresztül a rendszer az elemzés során keresztülhalad Működése során ezekre az állapotok átmenetekre, „folyamatábrákra” próbálja illeszteni az eseményeket Az állapot modellen alapuló elemzés miatt körültekintő adatelemzés szükséges az újabb modellek implementálásához. A megoldás előnye, hogy jó hatékonysággal képes felismerni ugyanazon támadás többféle variánsait. • Neuronhálók – A neutronhálókon alapuló IDS-ek egy

hatékonyabb, kevésbé összetett, jobban átlátható, jobb hatékonyságú rendszert eredményeznek és kevésbé erőforrás-igényesek, mint a szabályokon alapuló rendszerek. A neuronhálókon alapuló technikák még fejlesztési stádiumban vannak, igen ígéretesek de, kereskedelmi rendszerekben még nemigen fordulnak elő 47 Előnyök: • A visszaélés érzékelők nagyon hatékonyan ismerik fel a „betáplált” támadásokat, ritkán adnak hamis pozitív riasztást. • A visszaélés érzékelők gyorsan és megbízhatóan képesek diagnosztizálni egy speciális támadás vagy technika használatát. • Hatékonyan támogatják a rendszeradminisztrátorok munkáját a világosan átlátható szabályokkal, működéssel. Segítségükkel könnyebben kideríthetők a biztonsági problémák, az illegális tevékenységek a hálózaton és a munkaállomásokon Hátrányok: • A visszaélés érzékelők csak azokat a támadásokat érzékelik, amelyeknek

megtalálható a lenyomatuk az adatbázisban ezért nagyon fontos, hogy mindig naprakész legyen a tudásbázis. • Nagyon sok rendszerben a szabályok túlságosan „pontosan” vannak leírva, ezért a rendszer nem képes felismerni ugyanazon támadás egy újabb variánsát. A „statebased” alapú visszaélés érzékelők képesek ezt a problémát kiküszöbölni, de a kereskedelmi rendszerekben általában nem használják őket 4.22 Rendellenességet érzékelő modell A rendellenességet érzékelő modell a hálózaton vagy számítógépen bekövetkező nem normális jelenségeket (anomáliákat) figyeli. Működésük módja azon a feltételezésen alapul, hogy a támadások „működése” különbözik a normál felhasználás „működésétől” és így a különbségekből lehet következtetni a támadásra. Ezek a rendszerek egyfajta „működési profilokat” hoznak létre a számítógép vagy hálózat működése közben. Ezeket a profilokat az IDS a

fel- 48 ügyelt eszközök normál működése közben hozza létre. Megfigyelik, „megtanulják”, hogy egy adott környezetben mi számít normál működésnek, az ettől eltérő események észlelése során a rendszer riaszt. Hogy mi számít nem normális működésnek az igen változó lehet, de általában elmondható, hogy akkor történik incidens, ha egy adott érték - ami az éppen aktuális esemény egy tulajdonsága – nem a várt statisztikai értékek közé esik. Egy példa erre, ha a felhasználó a napi átlagos 1-2 be-kilépéstől eltérően mondjuk, egy napon 30 alkalommal lép ki és be a rendszerből. Egy másik példa, ha a felhasználó hajnali 3 órakor használja a számítógépét, vagy az általában használt programjain kívül egyéb „különös” programokat is használ. A rendellenességet érzékelő modell főbb működési elvei: • Küszöbérték figyelése – A rendszer küszöbértékeket rendel a „normális”

tevékenységekhez. A felhasználó és a rendszer működése speciálisan meghatározott számokhoz van rendelve és az IDS ezen értékek figyelésével végzi feladatát. Számokat rendelhetünk például a rendszerbe való belépések számához, a processzek által használt CPU időhöz, fájlok hozzáférésének számához, stb. Ezek a számok lehetnek statikus, tapasztalati úton beállított számok, de lehet valamilyen heurisztikán alapuló számítás eredménye is A küszöbértékek figyelésén alapuló IDS egy könnyen érthető és parametrizálható rendszer. A rendszer hátránya, hogy nehéz feladat a küszöbértékek helyes beállítása, az időintervallum meghatározása a határértékek érvényességéhez. A rosszul beállított rendszer sok hamis pozitív vagy hamis negatív eredményhez vezethet. • Felhasználói profil figyelése – a rendszer minden egyes felhasználóhoz létrehoz egy felhasználói profilt. Ebben a profilban a felhasználó

mindennapi tevékenységei, az általa használt programok, a felhasználótól „elvárható” események feljegyzései vannak Ha a felhasználó megváltoztatja a mindennapi ténykedését, akkor a profilja követi a változásokat. Ha a profil és az aktuális cselekmény között jelentős eltérést tapasztal a rendszer, akkor riasztást küld. Egyes rendszerek a rövid távú profil és a hosszú távú profil közötti összefüggéseket vizsgálják a biztosabb eredmény érdekében. A korábbi profilt az azonnali változás figyelésére, míg a későbbi profilt a távlati anomáliák megfigyelésére használják. A működéshez használt profilok definiálása nehéz feladat, kü- 49 lönösen olyan felhasználók esetén, akik igen sokféle programot használnak. A túl „lazán” definiált profil esetleg nem megengedett eseményeket is átenged a szűrésen • Csoportos profil figyelése – hasonló az előbb ismertetett technológiához avval a

különbséggel, hogy felhasználók csoportjainak profiljain végzi a vizsgálatokat a rendszer. A csoport profilja az egész csoport múltbeli tevékenységén alapul Ez a fajta módszer nagyban csökkenti a karbantartandó profilok számát. Egy felhasználó ténykedése kevésbé szélesíti ki a csoport profilját ez által, nehezebben lesz „engedékenyebb” a rendszer A nehézséget a felhasználók megfelelő csoportba való besorolása jelenti. Az olyan felhasználókat, akik egyik csoportba sem sorolhatók általában egy közös csoportba szokták helyezni. • Erőforrások profil figyelése – a teljes rendszer használatáról készít és tart karban egy profilt az IDS. Ebben a profilban megtalálhatók a felhasználók, programok, adattárolók, protokollok, kommunikációs portok stb használatával kapcsolatos események A rendszer nehézsége, hogy nehéz a teljes rendszer változásaiból, használatából következtetéseket levonni. Az erőforrások profil

figyelése felhasználótól független rendszer, ezért hatékony az „összedolgozó”, egymást segítő támadások felderítésében. • Futtatható állományok profil figyelése – a védendő rendszer futtatható állományairól és azok használatáról, működéséről készít profilt az IDS. Különösen az olyan alkalmazásokra figyel a rendszer, melyek a felhasználó beavatkozása nélkül, önállóan cselekednek. Az ilyen programok a vírusok, trójai falovak, férgek, hátsó kapuk, logikai bombák stb Az IDS számon tartja, hogy a futtatható állományok mely rendszererőforrásokat, milyen gyakran használnak Ha a megszokottól (a profilban szereplő) eltérő használatot észlel az IDS riaszt. Szintén felhasználótól független rendszer, ezért hatékony • az „összedolgozó”, egymást segítő támadások felderítésében. Statikus munka profil figyelése – a rendszer a használati profilok karbantartását - a rendszermérnök

előzetes beállításai alapján -időintervallumonként végzi. Ez segít megelőzni azt, hogy a felhasználók különféle tevékenységekkel, „apró lépésekkel” kiterjesszék a saját profiljukat, és ez által engedékenyebbé tegyék a rendszert. A rendszermérnök által felügyelt frissítés lehetővé teszi a felhasználói profilok pontos beállí- 50 tását és elemzését. A rendszer hatékony működéséhez a profilok gyakori frissítésére van szükség. Ha a profilok rövid időn belül jelentősen megváltoznak, az sok hamis pozitív eredményhez vezethet. A profilok figyelmes és gondos karbantartása nagyon fontos a rendszer megbízható működéséhez. • Alkalmazkodó, munka profil figyelése – a rendszer automatikusan karbantartja és az aktuális rendszerhasználathoz igazítja az elemzéshez használt profilokat. Ezek a profilok lehetnek felhasználói profilok, felhasználók csoportjainak profiljai vagy programok profiljai A rendszer

megengedi a profilok „testreszabását”, a rendszer hatékonyabbá tételéhez Ezt a munkát a rendszergazda, vagy valamilyen specialista végzi Egy cselekmény lehet: o kártékony o nem kártékony, ekkor a rendszer automatikusan kibővíti az adott profilt a cselekménnyel o nem kártékony, de valamilyen nem „normális” tevékenység, melynek esetleges újbóli előfordulása „érdekes” lehet Az olyan eseményeket, amelyeket nem jelölnek kártékony tevékenységnek, bekerül a rendszer automatikus profil karbantartó egységébe. • Alkalmazkodó szabály alapú profil figyelése – abban különbözik a többi profil alapú technikától, hogy a felhasználók, csoportok vagy alkalmazások profiljait a múltban történt tevékenységeik alapján, szabályok formájában menti el a rendszer. Ezeket a szabályokat a rendszer összehasonlítja a rendszermérnök által beállított szabályokkal, illetve a rendszer historikus adataival. Szemben a

visszaélést érzékelő rendszer szabályalapú megközelítésével, a rendszernek nincs szüksége előzetesen beállított szakértői rendszerre, melyben támadási lenyomatok szerepelnek A normál felhasználás szabályait a rendszer automatikusan összegyűjti a „tanulási” folyamata alatt, viszont a rendszer tanulási folyamata hosszabb időt igényel, mint a tisztán statisztikai profilokat használó rendszereké. 51 A rendellenességet érzékelő modell és az ezen az elven működő IDS rendszerek sok hamis pozitív riasztást adnak, mivel a felügyelt rendszerek és a normálisnak vélt felhasználói tevékenységek széles skálán mozoghatnak. A rendellenességet érzékelő modell ereje az újfajta támadások észlelésében van szemben a lenyomatokat figyelő rendszerekkel. A rendellenességet érzékelő IDS-eket gyakran használják inputok előállítására a más elven működő IDS-ek számára. Például egy küszöbértékek figyelésén alapuló

IDS egy adott fájl „normál” számú hozzáféréseinek számát átadhatja egy visszaélést érzékelő modellen alapuló IDS-nek. Ez az IDS pedig, ha a fájl hozzáférések száma ettől a számtól, pl. 10%-kal eltér, akkor riasztást ad A kereskedelmi rendszerek közül néhányban a rendellenességet érzékelő modell egy szűkített formáját használják, mintegy a teljes rendszer hatékonyságát növelő komponenst. Ezekben a rendszerekben a technikát általában hálózat és port szkennelés felismerésére használják. Előnyök: • Működési módjuk miatt képesek olyan támadások jelzésére is, melyeket előtte nem tápláltak beléjük, ezáltal egyfajta „jövőre” vonatkozó védelmet is képesek nyújtani. • A rendellenességet érzékelő modell által előállított információkat fel lehet használni szabályok létrehozására a visszaélést érzékelő modell számára. Hátrányok: • Gyakran produkálnak hamis pozitív

riasztásokat a felhasználók, illetve a hálózat viselkedésének nehéz megjósolhatósága miatt. • Az ilyen fajta rendszerek általában nagyon hosszú és költséges tanulási folyamatot igényelnek. A felügyelt rendszer hosszú ideig tartó megfigyelése van szükség a minél pontosabb működés elérésének érdekében. 52 4.23 Hibrid rendszerek A hibrid rendszerek mindkét – a visszaélést érzékelő modellt és a rendellenességet érzékelő modellt – módszert párhuzamosan használják. A két elven működő rendszer hatékonyan képes kiegészíteni egymás munkáját A rendellenességet érzékelő modell képes olyan tevékenységek felderítésére, melyet a visszaélést érzékelő rendszer nem képes észrevenni és fordítva A visszaélést érzékelő rendszer kevesebb hamis pozitív riasztást ad, de nem képes érzékelni az „új” támadási formákat, míg a rendellenességet érzékelő modell több hamis pozitív eredményt ad.

Széleskörűen elfogadott vélemény, hogy a kétfajta rendszer kombinációjából előálló rendszer hatékonyabb rendszert eredményez 4.24 A felügyelt rendszer monitorozása Az ilyen eleven működő IDS-ek nem a rendszerben bekövetkező anomáliákat figyelik vagy lenyomatokat keresnek, hanem speciális fájlok módosulását ellenőrzik. A fájlok megduplázása vagy folyamatos mentése nem lenne igazán hatékony megoldás, ezért az így működő rendszerekben a fájlok lenyomatait készíti el a rendszer Ezek a fájlok lehetnek fontos rendszer fájlok, de akár az egész fájlrendszerről is készíthetünk ilyen lenyomatokat. Működése során a rendszer az eredeti fájlt és annak lenyomatát hasonlítja össze, ha eltérést tapasztal, akkor riasztást ad. 4.25 Rejtett megfigyelés A rejtett megfigyelés technikáját általában a visszaélést érzékelő vagy rendellenességet érzékelő IDS-ek „kiegészítő” tudásként alkalmazzák. Ez a technika az

olyan támadások felfedezését próbálja meg, melyek egy adott időintervallumban történnek A támadók által gyakran használt eljárás, hogy pl. felmérik a rendszer sebezhetőségét, nyitott portjait majd a tényleges támadást csak néhány nap, hónap múlva teszik meg. Az így kivitelezett támadás esetleg észrevétlen maradhatna, hisz a támadónak már nincs szüksége „terep felmérésre” a támadás elindítása előtt A rejtett megfigyelés technikáját alkalmazó rendszerek megjegyzik az ilyen próbálkozásokat, és összefüggéseket próbálnak keresni a múltban történt események és a jelen eseményei között. 53 4.3 IDS-ek osztályozása a rendszer válasza szerint 4.31 Aktív rendszer Az ún. aktív IDS-ek támadás észlelése esetén reagálnak a támadásra, valamilyen automatizált cselekményt hajtanak végre. A következő kategóriák léteznek: 4.311 További információk gyűjtése Az egyik legártalmatlanabb, de talán az egyik

leghatékonyabb módszer a támadásról további információkat gyűjteni. A módszer lényege abban rejlik, hogy az IDS támadás érzékelése esetén elkezd jobban „figyelni” Ez a fokozottabb figyelés jelentheti például azt hogy, az IDS az operációs rendszer logfájljainak érzékenységét feljebb állítja vagy további loggolásokat kapcsol be, a teljes hálózati forgalmat rögzíti, stb. A támadásról készített további információk segíthetnek kideríteni, hogy a támadás sikeres volt-e egyáltalán? Segíthetnek továbbá a későbbi helyreállításban, a támadó kilétének a felfedésében. 4.312 A környezet megváltoztatása Másik aktív reakció az, hogy a rendszer a környezet megváltoztatásával próbálja meg megakadályozni a támadót a támadás kivitelezésében. Az IDS-ek általában a következő akciókat hajtják végre: • Reset TCP csomagokat helyeznek el az áldozat és a támadó közötti kommunikációs csatornába mellyel,

megszakítja a kapcsolatot. • Átkonfigurálják a routert vagy a tűzfalat úgy, hogy blokkolja a támadó felől érkező csomagokat. 54 • Átkonfigurálják a routert vagy a tűzfalat úgy, hogy blokkolja a támadó által használt protokollokat és portokat. • Kilépteti a felhasználót, blokkolja a felhasználó fiókját. 4.32 Passzív rendszer A passzív IDS-ek információkat gyűjtenek és riasztást küldenek az IDS felhasználójának, nem avatkoznak be és válaszlépéseket sem tesznek. Nagyon sok kereskedelmi IDS passzív rendszerként működik. 4.321 Riasztások, figyelmeztetések, jelentések küldése Az IDS támadás érzékelése esetén riasztásokat, illetve figyelmeztetéseket küld a felhasználónak. A figyelmeztetések és riasztások igen sokfélék lehetnek, beállítástól függően a rendszer adhat az egyszerű riasztástól kezdve a nagyon részletes riasztásig mindent. Nagyon sok IDS riasztásában megjelenik a támadó IP címe, a

felhasznált támadási eszköz, a kihasznált sebezhetőség, a sebezhetőség vagy incidens valamilyen jelentősebb adatbázis szerinti besorolása, stb. A rendszerek többsége beállítható automatikus jelentések küldésére az incidenskezelő központoknak vagy riasztások küldésére a rendszeradminsztrátoroknak. Néhány kereskedelmi rendszer képes ún. SNMP protokollüzenetek segítségével a központi hálózatot felügyelő rendszernek üzeneteket küldeni. Ezen üzenetek segítségével a vállalati hálózatot felügyelő rendszer hatékonyabban képes reagálni a támadásra 4.33 Riportálási és archiválási képességek Szinte az összes kereskedelmi IDS biztosít valamiféle eljárást arra, hogy riportokat, statisztikákat állítson elő heti, havi stb. lebontásban mely segíti a rendszeradminisztrátorok munkáját Igen sok IDS támogatja az olyan kimenetek előállítását, melyet aztán valamilyen adatbázisba betöltve statisztikákat készíthetünk.

(Pl: Crystal Reports) 55 4.34 Az IDS rendszerek hibamentes működésének szükségessége Az IDS rendszereknél fontos dolog az úgynevezett failsafe (hibamentes) tulajdonságok biztosítása. Ezek a failsafe tulajdonságok az IDS védelmének érdekében szükségesek Ha a támadó tudomást szerez egy IDS létezéséről, akkor könnyen maga az IDS is a támadás célpontjává válhat. Az IDS-nek a háttérben, láthatatlanul figyelve kell a munkáját végeznie, a lehetőségekhez képest minél inkább rejtve kell maradnia Éppen ezért a rendszerek többsége a felhasználóknak küldött riasztásokat is valamilyen kódolt csatornán küldik, nehogy a támadó tudomást szerezzen az IDS létezéséről 56 4.4 A HIDS és NIDS rendszerek összehasonlító táblázata Az alábbi táblázatban összehasonlítom a HIDS és NIDS rendszereket főbb jellemző tulajdonságaik alapján[20]. A több (maximálisan 4) csillag az adott tulajdonság teljes biztosítását mutatja,

a kevesebb csillag az adott tulajdonság, szempont kevésbé támogatottságát jelenti, míg a – (vonal) az adott tulajdonság teljes hiányát jelöli. Funkció HIDS NIDS Megjegyzés Védelem a LAN-on belül * * Mindkét rendszer védelmet nyújt a belső hálózaton. Védelem a LAN-on kívül * - Csak a HIDS rendszerek védenek a védett hálózaton kívül. Adminisztráció módja * * A két rendszer ebből a szempontból azonos. Centralizált adminisztráció jellemzi a behatolás-érzékelő rendszereket Sokoldalúság * * A HIDS rendszerek működési módjuk miatt sokoldalúbb rendszerek. A rendszerek ára * * A HIDS rendszerek általában olcsóbb rendszerek. Implementáció módja * * A két rendszer ebből a szempontból azonos. Betanítás * * A HIDS rendszerek kevesebb oktatást igényelnek. Teljes bekerülés költsége * * A HIDS rendszerek hosszútávon olcsóbban üzemeltethetők Helyi hálózat sávszélesség - * igénye A

NIDS rendszerek sávszélességet használnak, míg a HIDS rendszerek nem. A működés folytán a háló- * zat terhelése * A NIDS rendszereknek megközelítőleg kétszer akkora sávszélességre van szükségük. 57 Funkció HIDS Sávszélesség igény (Inter- * NIDS Megjegyzés * Mindkét IDS-nek szüksége van Inter- net) net elérésre a folyamatos rendszerfrissítés érdekében. Dedikált switch port - * A NIDS rendszereknek szükségük van egy „szimatoló” portra, mondjuk a hálózati switch-en, melyen keresztül monitorozhatják a hálózat forgalmát. Kliensek frissíthetősége * - A HIDS rendszerek a központi adminisztráción keresztül frissítődnek. Különböző platformok kö- * * zötti hordozhatóság A NIDS rendszerek kevésbé platformfüggők és hordozhatóbbak is, mint a HIDS rendszerek. Helyi számítógép * - Csak a HIDS rendszerek képesek erre. * * Mindkét rendszer képes az adatok logfájljainak, registry

bejegyzéseinek figyelése Loggolás mentésére. Riasztási funkciók * * Mindkét rendszer képes riasztásokat küldeni. Hálózati csomagok elutasí- - * Csak a NIDS rendszerek képesek erre. * Több szakértelem szükséges a NIDS tása A működtetéshez szükséges * speciális ismeretek rendszerek beállításához és megértéséhez. Központi felügyelet * * A NIDS működéséből kifolyólag erősebben központosított. A hibamentes működés ri- * zikófaktora * A NIDS rendszer meghibásodása sokkal súlyosabb következményekkel járhat, mint a HIDS meghibásodása. A HIDS meghibásodása csak egy kliens kieséséhez vezethet. 58 Funkció HIDS NIDS Megjegyzés Frissítési lehetőség * * A két rendszer ebből a szempontból hasonló. A Rendszerek automatikusan, vagy felhasználói beavatkozással frissítik magukat. Összetettebb, részletesebb * elemzési eljárás * A HIDS rendszerek átfogóbb, összetettebb elemzésre képesek,

mint a NIDS rendszerek. A felügyelt hoszt minden folyamatát megfigyelhetik. 10. ábra A NIDS és HIDS rendszerek összehasonlítása 59 5. Behatolás-megelőző rendszerek bemutatása Történet Az 1990-es évek elején megjelenő hacker támadások és hálózaton terjedő férgek észlelésére, riasztások és monitorozások elkészítésére fejlesztették ki a behatolás-érzékelő rendszereket. A behatolás érzékelő rendszerek kezdetben a kevés számú támadás kezelésére tökéletesen alkalmasak voltak. A támadások sokszorozódásával az analizálandó adatok mennyisége is jelentősen megnőtt, az újfajta összetett, hibrid támadások újabb kihívások elé állította az IDS rendszereket. Egyre inkább fokozódott az igény a támadások megelőzésére, nem csak jelzésére A mai IDS-ek gyengeségei [21]: • Észlelési pontosság – A ma kapható és elérhető IDS rendszerek többsége nagyon sok hamis pozitív riasztást ad. Ez azt eredményezi,

hogy a hálózati szakemberek óriási mennyiségű időt töltenek el a riasztások kiértékelésével és feldolgozásával feleslegesen. • Túlságosan összetett – A mai IDS rendszereket nehéz installálni, frissíteni és karbantartani. Az üzemeltetésükhöz magasan képzett szakemberekre van szükség A következő rendszereket úgy kell megalkotni, hogy egy „átlag” rendszergazda vagy rendszermérnök is be tudja állítani, karbantartani • IDS-ek megkerülése – A megzavaró, hamis adatokkal történő támadások egyre „népszerűbbek” a támadók között. A leggyakrabban használt zavaró, megtévesztő technika például az IP címek meghamisítása. Ez annyit jelent, hogy a támadó IP címét egy véletlenszerű IP címmel helyettesíti, mint forráscím Olyan eszközökkel, mint például az ADMutate polimorfikus támadásokat indíthatunk és megkerülhetjük az IDS rendszerek lenyomatfigyelő és elemző védelmét. 60 •

Teljesítménybeli határok – A cégek növekedésével együtt nő a sávszélesség igénye is. A nagy sávszélességű, kódolt hálózatokon folyó kommunikáció megfigyelése és feldolgozása igen komoly kihívást jelent. Egy megfelelően működő IDS-nek képesnek kell lennie csomagveszteség nélkül a forgalom figyelésére. Néhány IDS ezt a követelményt úgy oldja meg, hogy nem a teljes hálózati forgalmat felügyeli, hanem csak a forgalomból kiragadott csomagokat vizsgál meg. Ezzel természetesen megnő a veszélye, a sikeres támadások kivitelezésének • Passzív eszköz – Az IDS rendszerek inkább passzív eszközök. A rendszer reaktív, ami azt jelenti, hogy habár az IDS képes bizonyos válaszlépéseket tenni támadás észlelése esetén, a rendszer inkább megfigyelő és riasztó rendszerként működik. Általában várniuk kell addig, míg a támadás kialakul és a rendelkezésre álló információk alapján döntenek a

válaszlépésekről. Ez a válaszlépés már későn is érkezhet és a támadás már sikeres lehet, mire a rendszer beavatkozik. A támadások megelőzésének sokkal nagyobb jelentősége van, mint a támadások észlelésének Az IPS rendszerek legfőbb tulajdonsága éppen ez, még a támadás végrehajtása előtt beavatkoznak a folyamatba, és ez által meggátolják a támadás kivitelezését. A fentebb felsorolt hiányosságok vezettek el az IDS rendszerek továbbfejlesztéséhez az IPS rendszerekhez. Egyes gyártók a már meglévő IDS rendszereiket alakítják át, egészítik ki a megelőzéshez szükséges eszközökkel, míg más gyártók eleve IPS rendszereket fejlesztenek. Bemutatás Az IPS rendszerek proaktív rendszerek, nem várják meg, míg a támadás kialakul, vagy befejeződik, a támadás megelőzése a céljuk. A rendszer úgy működik, mint egy nagyon intelligens tűzfal. Egyes tanulmányok egyenesen az újfajta tűzfalaknak nevezik őket [6], míg

más cikkek az IDS rendszerek továbbfejlesztésének mondják. A technológia még elég új és az IPS rendszerek piaca sem olyan nagy, mint a „régi” IDS-ek piaca A technológia természetesen az IDS-ekre épül, az IDS-eknél megismert techológiákat használják az IPS rendszerek. Ezen rendszereknek is létezik hoszt-alapú és hálózat-alapú változata. A két rendszer közötti leglényegesebb különbséget a 7 ábra szemlélteti Míg az IDS rendszerek megfigyelik a hálózaton 61 folyó forgalmat és csak korlátozott beavatkozásra képesek, addig az IPS rendszerek a támadás kialakulása előtt beavatkoznak. A támadás megelőzése, és nem csak jelzése a céljuk A következőkben az IPS rendszerekben használatos technikák, osztályozásuk bemutatása következik [18, 19, 23] alapján 11. ábra IDS és IPS rendszerek működése http://www.networkmagazinecom 5.1 IPS-ek osztályozása az információ forrása szerint 5.11 Hoszt-alapú IPS (HIPS) A hoszt

alapú IPS rendszerek - hasonlóan a hoszt-alapú IDS-ekhez - a védett hoszton helyezkednek el. Az operációs rendszer kerneléhez és szolgáltatásaihoz “közel” helyezkednek el és figyelik, monitorozzák a felhasználói programok rendszerhívásait, és igyekeznek megelőzni a támadásokat. Ezek a rendszer specifikus ágensek védik az operációs rendszert és a hoszton futó felhasználói és egyéb alkalmazásokat. Ha a rendszer támadást érzékel, akkor beavatkozik, blokkolja a támadást, sőt szemben az IDS rendszerekkel megpróbálja megelőzni a támadásokat Pl a tártúlcsordulási támadás a rosszindulatú kód figyelésével és futtatásának letiltá- 62 sával kivédhető támadás. A hoszt-alapú IPS-ek egyik nagy hátránya, hogy mivel igen rendszerközeli szoftverek, és megvalósításuk nagyban függ a védett operációs rendszertől, a későbbi operációs rendszerfejlesztések miatt működési problémák lehetnek. Mivel a hosztalapú IPS

rendszerek a védett hoszt minden rendszerhívását elkapják ezért nagyon fontos, hogy a rendszer megbízhatóan működjön, ne okozzon teljesítménylassulást, és ne blokkolja a legális forgalmat. A hoszt-alapú IPS előnyei: • A szoftver a védendő rendszerre van installálva, így nem csak magától a támadástól véd, hanem a támadás eredményét is képes megakadályozni. Például blokkolja egy program fájl módosítási kísérletét. • A hordozható eszközöknek is védelmet nyújt. A hordozható eszközökök keresztül a kártékony programok képesek bejutni a védett hálózatokba is. • A helyi támadások ellen is védenek. A felhasználó programokat tud felmásolni és futtatni mondjuk, egy floppy segítségével Az ilyen fajta támadások kiindulópontjai lehetnek egy hálózatot érintő támadásnak miután a támadó rendszergazdai jogosultságokat szerzett • Az utolsó védelmi vonalat jelentik az olyan támadások ellen, amelyek a

többi védelmi mechanizmuson már átjutottak. • A belső támadások elhárításában és megelőzésében sokkal hatékonyabb, mint a hálózat-alapú IPS. A hálózat-alapú IPS-ek általában két különböző hálózati szegmens között helyezkednek el, a védett hálózat felé irányuló forgalmat figyelik Az egyazon hálózati szegmensen lévő gépeket nem védi, így egy belső támadás ellen nem véd • A kódolt támadások ellen is védelmet nyújtanak, mivel még azelőtt feldolgozzák az adatokat mielőtt a megtámadott alkalmazás feldolgozná őket. • A hálózati struktúrától független, ritkábban használt hálózati topológiákon is működik, pl. Token Ring 63 5.12 Hálózat alapú IPS (NIPS) A hálózat alapú IPS eszközök már nem csak figyelik a hálózat egy adott szegmensén áthaladó forgalmat, hanem maga a hálózati forgalom is rajtuk keresztül folyik. Az áthaladó adatokat a rendszerelemzésnek veti alá, és támadási

nyomokat keres. A rendszerek észlelési eljárásai rendszerenként különböznek, de hasonlóan az IDS rendszerekhez az IPS rendszerek is többféle eljárást használnak egy rendszeren belül. A hálózat alapú IPS hasonlóan működik, mint egy tűzfal. Az egyik hálózati kártyán a védett hálózat felé irányuló forgalom összes adata bekerül a rendszerbe. Az IPS különböző azonosítási és elemzési eljárások után engedi csak tovább a forgalmat a másik hálózati kártyán keresztül a védett hálózat felé. Mivel valós időben dolgozik a rendszer ezért nagyon fontos, hogy rendszer képes legyen nagy adattömeg, gyors elemzésére Mivel a teljes hálózati forgalom a rendszeren keresztül halad át, nagyfokú megbízhatóságra is szükség van A rendszer esetleges leállása -szemben a hoszt-alapú rendszerekkel - a hálózat teljes megbénulását okozhatja. Ha az IPS rosszindulatú csomagot észlel, a riasztás küldése mellett, eldobja a csomagot és a

kapcsolatot támadásnak veszi. A támadó felől érkező további csomagokat már nem is vizsgálja a rendszer, hanem egyszerűen eldobja. További hasznos tulajdonsága egyes NIPS rendszereknek, hogy képesek a hálózati forgalom “tisztítására”. Ilyenek például a protokoll inkonzisztenciát okozó csomagok eltávolítása, vagy a manipulált csomagok kidobása az adatfolyamból. A rendszer képes rendberakni a helytelenül szétdarabolt, lejárt vagy egymást fedő csomagokat így javítva a hálózati forgalmat A hálózat-alapú IPS előnyei: • Mivel a hálózat egyes szegmenseit figyeli és nem gépekhez kötött rendszer ezért a hálózat átalakítására, vagy bővítésére gyorsan tud reagálni. • Könnyen telepíthető, egyetlen telepített hálózat-alapú IPS képes több száz kliens védelmére a hálózaton. A hoszt-alapú IPS-t minden egyes munkaállomásra külön telepíteni kell 64 • Képes más, nem „pc-alapú” hálózati eszközök

védelmét is ellátni. Ilyen hálózati eszközök pl hubok,switchek, printerek, print szerverek stb Ezen eszközök védelme is fontos a teljes hálózati védelmi rendszerben. • Platformfüggetlen. Mindenféle operációs rendszert és alkalmazást véd a támadásoktól szemben a hoszt-alapú IPS-ekkel melyeknél fontos a védett hoszton futó operációs rendszer típusa. • A hálózat figyelésével védelmet tud nyújtani az olyan gyakori támadások ellen is mint, DoS, DDos, egyéb sávszélesség túlterhelésére irányuló támadások, SYN elárasztás stb. 5.2 IPS-ek osztályozása az alkalmazott technológia szerint 5.21 Protokoll felismerési és azonosítási technikák Az adott protokollon folyó kommunikáció elemzése előtt szükség van magának a protokollnak a beazonosítására. Ha a protokoll azonosítása sikertelen vagy hibás, akkor nagyon sok hamis pozitív vagy hamis negatív riasztást kaphatunk. Többféle azonosítási technika alkalmazása

pontosabb eredményhez vezet Az alábbiakban felsoroljuk a mai IPS rendszerekben használatos főbb protokoll-azonosítási technikákat. • A port azonosítása a szabvány szerint – A port azonosítása a szabvány szerint, az egyik legegyszerűbb módja a folyamat által használt port beazonosítására. Az azonosítás egyszerűen a folyamat számára a TCP/IP protokoll által előírt port azonosítását jelenti A technika önmagában kevés és megbízhatatlan, de egy előzetes port azonosításként mindenféleképpen felhasználható A technika egyedüli azonosításra azért kevés, mert a támadók és programok tetszőleges portokat felhasználhatnak a működésükhöz, illetve a támadás kivitelezéséhez Az eljárás egyszerűsége miatt, a biztos port azonosításhoz további technikák felhasználása szükséges. Egy példa erre a http protokoll A http protokoll elsődlegesen a TCP protokoll 80-as (esetleg 8080-as) portját 65 használja az adatcserékhez.

Ha az IPS a 80-as porton lévő kommunikációt figyeli, az igen nagy eséllyel a http protokoll üzeneteinek figyelését jelenti. • Heurisztika - A valamilyen heurisztikát tartalmazó algoritmusok alapötletei azon alapulnak, hogy minden protokollnak van valami egyedi tulajdonsága, melyet fel lehet használni a protokoll egyértelmű azonosítására. Vannak olyan protokollok melyek nem egy előre definiált porton keresztül kommunikálnak, hanem tetszőleges nyitott portot felhasználhatnak az adatcserére. Az így működő protokollok azonosítására gyakran az egyetlen mód valamilyen heurisztika alkalmazása. Egy példa erre a távoli eljáráshívás (remote procedure call) protokoll mellyel tetszőleges porton találkozhatunk, így hatástalanná téve, pl. a szabvány szerinti azonosítást Bizonyos esetekben a 80-as porton találkozhatunk az RPC protokoll üzeneteivel melyek http üzenetek. A pontos azonosításhoz a csomagok tartalmának vizsgálata szükséges. Az

RPC protokoll egyedi azonosítóinak keresésével és beazonosításával. A heurisztikát alkalmazó technikák feltételezik, hogy a megvizsgálandó protokollnak léteznek egyedi tulajdonságai, de sajnos nem minden protokoll tartalmaz egyedileg azonosítható tulajdonságokat, így a heurisztika mellé is további módszerek szükségesek, a minél pontosabb azonosításhoz. • Port követés – A port követés technikája úgy működik, hogy az előzőleg beazonosított kommunikációs csatorna által megnyitott további portokat is figyeli a rendszer. Az ilyen alkalmazások általában megnyitnak egy adott portot, hogy felvegyék a kapcsolatot a másik számítógéppel. Maga a tényleges adatátvitel nem ezen a csatornán folyik, hanem további megnyitott portokat használ a rendszer. Egy jó példa erre az FTP protokoll Az FTP protokollt adatátvitelre szokták használni két gép között Az FTP protokoll kapcsolatfelvétele és irányítása a 21-es porton történik

A tényleges adatfolyam viszont egy véletlenül kiválasztott és a két gép között előre leegyeztetett porton (portokon) történik. Ezeken a csatornákon tisztán adatküldés történik, semmiféle FTP protokoll specifikus adatcsere nem folyik A port követés technikája az ilyen elven működő programok megfigyelésénél használható a megnyitott portok „összegyűjtésére” és a rajtuk folyó kommunikáció analizálására. 66 • Protokoll-bújtatás felismerés – A protokoll bújtatás technikájának alkalmazása során az egyik protokollba egy másik protokoll adatfolyamát helyezik el. Bizonyos esetekben a támadók is kihasználják ezt a lehetőséget a támadás „elrejtésének” érdekében Az ilyen fajta támadás megelőzésének érdekében az IPS rendszereknek nagyon fontos az ilyen „bújtatott” támadások felismerése. Például az AOL Instant Messenger (AIM) protokoll is alapértelmezésben az 5190-es számú TCP portot használja

szerverrel való adatkommunikációra. Ha a port blokkolva van, mondjuk egy tűzfal által, akkor a szoftver képes a 80-as (általában nyitott) porton keresztül is kommunikálni a szerverrel a protokoll bújtatás módszerével. 4.22 Forgalomelemzési technikák A forgalom elemzése csak azután történhet, miután a protokoll megfelelően azonosítva lett. Ha a protokoll-azonosítás nem sikerül, a rendszer nem tudja, hogy milyen adatokra „számítson”. A forgalom elemzési technikákról is elmondható, hogy az IPS-ek ezen technikák közül többet is felhasználnak, a többféle elemzési technika hatékonyabb megoldáshoz vezet. • Protokoll analízis – A protokoll analízis egy széleskörűen használt technika az IPS rendszerekben az ismert és ismeretlen támadások megakadályozására. Az ismert támadások olyan támadások melyek már ismert sebezhetőségeket használnak ki, míg az ismeretlen támadások olyan szoftverhibákat használnak ki, melyek még

nem ismertek. A protokoll analízis az OSI modell 2. szintjétől lefelé végzi az elemzést, és ha egy hálózati csomagot nem elfogadhatónak minősít a rendszer, az IPS blokkolja a forgalmat Egy nagyon jó példa arra, hogy a technika mire képes az a számítógépes szakemberek által jól ismert Sasser vírus. A vírus a Microsoft operációs rendszerek Local Security Authority Subsystem Service (LSASS) sebezhetőségét használta ki [7]. A sebezhetőség, egy nem ellenőrzött buffer hosszúságból eredt A vírusnak nem is kellett a számítógépen lennie, a megfertőzött gépről véletlenszerű IP címek ellen intézte támadásait Az áldozatul esett számítógép állandóan újraindult. A protokoll analizáló IPS–ek a Microsoft hibajavítása nélkül is ki tudták védeni a támadást a TCP csomagok „tartalmának” ellenőrzésével. 67 • RFC szerinti kompatibilitás ellenőrzés – A módszert gyakran nevezik protokoll megerősítés vagy protokoll

rendellenesség ellenőrzésnek is. A módszer azon alapul, hogy a rendszer folyamatosan ellenőrzi, a kommunikációs csatornán folyó csomagok RFC szabvány szerinti megfelelősségét, tulajdonságait. Az ilyen fajta ellenőrzés önmagában nagyon sok hamis pozitív riasztást ad, mert pl a fejlesztők nem tartják be teljes mértékben az RFC előírásait. Nagyon sok hamis negatív eredményt is ad a rendszer, mert nagyon sok támadási technika „betartja” az RFC szabványt Az RFC kompatibilitás ellenőrzés ezért sohasem szerepel önállóan az IPS rendszerekben, mindig egyéb technikák kiegészítőjeként szokták használni. • TCP csomag újraegyesítés – A csomagok szétdarabolása a TCP protokoll egy „szolgáltatása”. Ez azt jelenti, hogy egy „nagy” csomagot az adatátvitel érdekében több kisebb csomagra darabol, majd a célban újra összerakja a rendszer Egy ilyen szoftver eszköz például a Fragroute [8], mellyel a küldendő csomagokat kisebb

csomagokra lehet feldarabolni az elküldés előtt. A hackerek is szívesen használják ezt a technikát a védelmi rendszerek megkerülésének érdekében. Az IPS-nek képesnek kell lennie az ilyen csomagok elemzésére azok továbbküldése előtt. • Adatfolyam megfigyelés – Az adatfolyam megfigyelés módszere hasonló a TCP csomag újraegyesítés technikájához, de az IPS a folyamat egészét elemzi, szemben a csomagok elemzésével. A teljes folyamatról dönti el, hogy az rosszindulatú támadás-e vagy sem. A modern támadási módok előszeretettel használják a csomagok feldarabolásának technikáját, a támadások elrejtésének érdekében A forgalom újraegyesítésével az IPS képes az ilyen jellegű támadások megakadályozására. • Statisztikai küszöbérték analízis – A statisztikai küszöbérték analízis a hálózati rendellenességek érzékelésén és blokkolásán alapul. A technikát gyakran nevezik statisztikai rendellenesség vagy

küszöbérték analízisnek is A rendszer működésének kezdetén egy adott időperiódus alatt „megfigyeli” a normális hálózati forgalmat és a normális működéshez küszöbértékeket rendel. Az olyan hálózati forgalom, mely ezen határértékeken kívül esik a rendszer blokkolja. Az IPS rendszerek általában többféle statisztikai rendellenességet érzékelő technikát felhasználva igyekeznek kiszűrni a káros forgalmat. A normális forgalomtól alig eltérő támadás viszont átjuthat a csak sta- 68 tisztikai szűrést végző rendszer ellenőrzésén. Az eljárás előnye, hogy bizonyos mértékig képes a „jövőbeni” támadások kivédésére A rendszer hátránya, hogy nehéz a normális működést meghatározni a mai kiterjedt hálózatokon, így a rendszer hatékonysága is romlik. Egy példa a technika által nagy hatékonysággal felismert támadásfajtára, a portszkennelés A portszkennelés azt jelenti, hogy a támadó felméri a kiszemelt

célpont nyitva tartott (felejtett) portjait és az azokat figyelő alkalmazásokat A megszerzett információkat a támadó aztán felhasználhatja a későbbi támadások során. • Mintaillesztés – A mintaillesztés az egyik leggyakrabban használt elemzési módszer. Az eljárás hasonló az IDS-eknél bemutatott módszerhez. Az IPS rendszeren áthaladó hálózati forgalmat a rendszer összehasonlítja a saját adatbázisában lévő, előre definiált támadási lenyomatokkal. Kezdetben a mintaillesztés nagyon egyszerűen történt, bármilyen adatforgalmi rész egyezése a támadási lenyomatokkal riasztást váltott ki A mintaillesztéses módszer nagyon sok hamis pozitív riasztást tud generálni, éppen ezért a mai rendszerek a mintaillesztésnek egy továbbfejlesztett változatát használják. A rendszer csak akkor végzi el a minta illesztését, ha az éppen aktuális forgalom egy darabját egy sikeres támadás részének feltételezi. Az ilyenfajta

mintaillesztést szokták állapot függő mintaillesztésnek hívni, melynél az IPS csak akkor végzi el az illesztést, ha a folyamat egy bizonyos részét támadásnak minősíti. A módszer mintegy a támadás észlelésének megerősítéseként működik. A mintaillesztéses módszerrel való támadásnyom keresés még mindig nagyon hatékony eszköz, éppen ezért szinte az összes IPS rendszerben megtalálható valamilyen formában. A fentebb felsorolt technikák a mai IPS rendszerekben vegyesen fordulnak elő, a rendszerek hatékonyságának növelése érdekében. 69 6. Összefoglalás A dolgozat írása közben értelmet nyert számomra a következő mondat: A biztonság nem állapot, hanem egy folyamat. Nem létezik olyan állapot, hogy készen vagyunk, innentől nincs mit tenni, teljesen biztonságban vagyunk. A biztonságot nem elég megszerezni, meg is kell tartani! Az újabb és újabb fenyegetettségek, a naponta megjelenő sebezhetőségek folyamatos

ébrenlétet követelnek meg a biztonsági szakemberektől és egyáltalán mindenkitől, aki egy kicsit is foglalkozik a biztonsággal. Csak a folyamatos odafigyelés, rendszerfrissítés és a támadókkal való lépéstartás vezethet el egy biztonságosabb állapothoz A biztonságra mindenkinek szüksége van, még ha ezt sokan nem is így gondolják. A dolgozatban bemutattam a fontosabb Internet helyeket, incidenskezelő központokat, sebezhetőségeket tartalmazó adatbázisokat, melyek segíthetnek a problémák megismerésében, kezelésében, megelőzésében. Ismertettem e központok által nyújtott információk rendszerezettségét, a nyújtott információk hasznosságát, mintegy segítve az eligazodást a hatalmas információtömeg között A téma tárgyalása során szerzett tapasztaltok alapján, nem maradhattak ki a dolgozatból a különféle tűzfalak, behatolás-érzékelő, behatolás-megelőző rendszerek bemutatásai sem, melyek a védekezés fő védelmi

vonalait jelentik. A rendszerek leírása mellett, összefoglaltam a különféle védelmi rendszerek előnyeit, hátrányait, ismertettem alkalmazási lehetőségeiket A dolgozatban tárgyalt rendszerek részletes jellemzőit megismerve, talán bölcsebben tudunk választani a lehetőségeink közül, amikor a védekezési stratégiánkat alakítjuk ki. A jelen dolgozat elkészítésével nem titkolt szándékom az volt, hogy megismertessem a számítógépi, illetve hálózati biztonság fontosságát, bemutassam a védekezés lehetőségeit és, hogy felhívjam a figyelmet a biztonság szükségességére mely a jövőben egyre fontosabbá fog válni, illetve fontosabbá kell, hogy váljon. 70 Köszönetnyilvánítás Ezúton szeretném megköszönni a fáradozását témavezetőmnek, Kincses Zoltánnak, aki nagyon sok támogatást, segítséget nyújtott a munkavégzés során, a leglehetetlenebb időkben is tudott velem foglalkozni. Köszönetemet szeretném kifejezni

menyasszonyomnak, Juditnak, aki a dolgozat írása közben mindig támogatott, bíztatott. Hálával tartozom a Családomnak, akik mindenben támogattak, és áldozatos munkájukkal lehetővé tették, hogy egyáltalán eljussak a dolgozat megírásáig. Ezeken kívül köszönöm minden érintettnek, aki a diplomamunkám megírásához közvetve vagy közvetlenül segítséget nyújtott. 71 7. Irodalomjegyzék [1] John Howard ,Tom Longstaff „A Common Language for Computer Security Incidents” http://www.certorg/research/taxonomy 988667pdf ,1998 október [2] James P. Anderson Co, „Computer security threat monitoring and surveillance” http://csrc.nistgov/publications/history/ande80pdf, 1980 [3] SRI international, http://www.sricom/ [4] Dorothy E. Denning, „An Intrusion-Detection Model” http://www.csgeorgetownedu/~denning/infosec/ids-modelrtf , 1987 február [5] Lawrence Livermore National Laboratory, http://www.llnlgov [6] Pete Lindstrom, „Intrusion Prevention

Systems (IPS): Next Generation Firewalls” A Spire Research Report http://www.toplayercom/pdf/WhitePapers/Spire - Top Layer WPpdf, 2004. március [7] Microsoft TechNet http://www.microsoftcom/technet/security/bulletin/MS04-011mspx, 2004. [8] http://www.monkeyorg/~dugsong/fragroute/ [9] Jeffrey C. Mogul Simple and Flexible Datagram Access Controls for Unix-based Gateways. USENIX Conference, pages 203-221 Baltimore, MD, June, 1989 72 [10] Illés Márton, Bánfi Tamás „Tűzfalak evolúciója”, Balabit IT Security Kft. http://www.balabithu/dl/evolution magyarpdf, 2005 május [11] Securing Your Network with the Cisco Centri Firewall http://www.ciscocom/univercd/cc/td/doc/product/iaabu/centri4/user/s cf4ch3.pdf [12] Sans Institute, „A Brief Taxonomy of Firewalls – Great Walls of Fire” http://www.giacorg/certified professionals/practicals/gsec/0767php [13] Firewall Q&A http://www.vicomsoftcom/knowledge/reference/firewalls1html [14] IHM – MTA-SZTAKI, „Az

informatikai hálózati infrastruktúra biztonsági kockázatai és kontrolljai” http://www.certhu/ismert/00tanulmany/MTAsec w1pdf, 2004 [15] Rebecca Bace1, Peter Mell, „Intrusion Detection Systems” http://www.snortorg/docs/nist-idspdf, 2004 [16] Ted Holland, „Understanding IPS and IDS: Using IPS and IDS together for Defense in Depth” GSEC Practical v1.4b, Option 1, 2004 február [17] Lawrence R. Halme, R Kenneth Bauer, „AINT Misbehaving: A Taxonomy of AntiIntrusion Techniques” http://www.sansorg/resources/idfaq/aintphp [18] Christopher J. Rouland, „Defining the Rules of Preemptive Protection: The ISS Intrusion Prevention System” http://documents.issnet/whitepapers/ISS Network Intrusion Preventio n White paper.pdf, 2004 [19] Top Layer Networks „Beyond IDS: Essentials of Network Intrusion Prevention” http://www.toplayercom/pdf/WhitePapers/IPS Whitepaper 112602pdf, 2002. november 73 [20] Ricky M. Magalhaes, „Host-Based IDS vs Network-Based IDS”

http://www.windowsecuritycom/articles/Hids vs Nids Part1html, 2004. július [21] Andre Yee, „The Intelligent IDS: Next Generation Network Intrusion Management Revealed” http://www.eubfncom/arts/NFRpdf, 2003 július [22] Incidens kezelés http://www.certhu/ismert/7incidens/incidens kezeles refcardpdf, 2005 [23] McAfee Network Protection Solutions, Host and Network Intrusion Prevention http://www.mcafeesecuritycom/us/local content/white papers/wp host nip.pdf 2005február 74 8. Ábrajegyzék 1. ábra Az internetes hosztok száma 2005 januárig 4 2. ábra Az elmúlt 24 óra alatt jelentett incidensek száma, földrészenként (2005 április 30) 5 3. ábra Összesített statisztika (2005 április 30) 5 4. ábra Incidensek taxonómiája 14 5. ábra CERT központ incidens bejelentő formanyomtatvány 19 6. ábra Az OSI és TCP/IP modell 26 7. ábra Az alkalmazás szintű tűzfal felépítése 31 8. ábra Egy tipikus HIDS topológia A sárgával jelölt számítógépek

hoszt-alapú IDS-t futtatnak. 38 9. ábra Egy tipikus NIDS topológia A piros színű eszköz hálózat-alapú IDS-t futtat 42 10. ábra A NIDS és HIDS rendszerek összehasonlítása 58 11. ábra IDS és IPS rendszerek működése 61