De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Cursus informatiebeveiliging Eric Laermans – Tom Dhaene

Verwante presentaties


Presentatie over: "Cursus informatiebeveiliging Eric Laermans – Tom Dhaene"— Transcript van de presentatie:

1 Cursus informatiebeveiliging Eric Laermans – Tom Dhaene
Systeembeveiliging Cursus informatiebeveiliging Eric Laermans – Tom Dhaene

2 Bedreigingen vandaag Enkele trends sociale netwerken Blackhole Java
Android Mac OS X ransomware gerichte aanvallen (“targeted attacks”) “cyberwar” naast “cybercrime” en “hacktivism” Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN)

3 Bedreigingen vandaag Sociale netwerken besmette host
kwetsbare wachtwoorden of gehackte databanken met slecht beveiligde wachtwoorden of onveilige “password recovery” besmette host overnemen account bv. Facebook, Twitter verspreiden van malware-links oplichterij (“scams”) Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN)

4 Bedreigingen vandaag Blackhole meest “populaire” malware epxloit kit
geschat op ongeveer 30% van bedreigingen op het Web Software-as-a-Service niet beperkt tot Windows ook Linux en Mac OS X Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN)

5 Bedreigingen vandaag Blackhole werking typisch hacken van website
toevoegen van JavaScript-malware doorsturen naar Blackhole site verandert zeer vaak (dagelijks) analyseren van waar doorgestuurd werd belangrijk voor betaling “leden” analyseren systeem + kwetsbaarheden slachtoffer Java en Flash als zorgenkinderen afleveren malware-payload verbeteren van werking exploit kit op basis van vergaarde info o.a. geslaagde aanvallen + systeem slachtoffer Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN)

6 Java (en Flash, en andere plugins)
Bedreigingen vandaag Java (en Flash, en andere plugins) bron van veel kwetsbaarheden en dus exploits sandbox niet altijd waterdicht Flashback trojan treft Mac computers in 2012 kwetsbaarheid was al twee maand vroeger weggewerkt voor Java zelf, maar niet voor Java voor Mac OS X (beheerd door Apple) oplossing Java (en Flash) uitzetten voor browsers tenzij echt nodig en voor vertrouwde sites best in aparte browser overschakelen naar HTML5 vermijdt gebruik van niet altijd veilige plugins Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN)

7 Bedreigingen vandaag Android
toenemend marktaandeel smartphones/tablets dus ook interessanter doelwit vrij open voor applicaties dus ook gemakkelijker voor malware typisch niet via officiële Google Play store risico’s vervalste software stelen van data stelen van SMS-berichten (voor bankauthenticatie) onderdeel van botnet Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN)

8 Bedreigingen vandaag Mac OS X gestegen marktaandeel, ook in bedrijven
dus interessanter doelwit ondanks degelijk beveiligingsmodel van OS X BSD-afkomst soms via Java of Flash ook reservoir voor Windows-malware risico bij dual-boot of gevirtualiseerde Windows-sessies anders alleen een risico voor derden protectie voor Mac geen luxe meer Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN)

9 Bedreigingen vandaag Ransomware heel oude techniek (1989)
maar nu in “verbeterde” vorm terug blokkeert systeem eist dan “losgeld” om systeem te deblokkeren ergste geval: sterke encryptie van volledige harde schijf meestal onherstelbare schade Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN)

10 Gerichte aanvallen (“targeted attacks”)
Bedreigingen vandaag Gerichte aanvallen (“targeted attacks”) meeste malware voor breed doelwit Windows, Mac OS X, Android,… payload soms wel gericht tegen specifiek doelwit bv. DDoS van botnet nadeel: grote groep (potentiële) slachtoffers voordeel: gemakkelijk detecteerbaar klassieke protectiesoftware volstaat zelfs voor traditionele polymorfe malware analyseren van onderdeel dat voor mutaties zorgt Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN)

11 Gerichte aanvallen (“targeted attacks”)
Bedreigingen vandaag Gerichte aanvallen (“targeted attacks”) Server-Side Polymorphism (SSP) mutatiecode alleen op server niet meer toegankelijk voor anti-malware moeilijker op te sporen nood aan detectie op basis van gedrag gebruikt in o.a. Blackhole exploit-kit Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN)

12 Gerichte aanvallen (“targeted attacks”)
Bedreigingen vandaag Gerichte aanvallen (“targeted attacks”) aanvallen tegen welbepaald doelwit overheden specifiek bankauthenticatiesysteem maar zelfs KMO’s vaak zwakkere beveiliging vooraf analyseren van specificiteiten veel malware vandaag slechts in zeer beperkt aantal exemplaren verspreid aanvallen waarvan payload alleen welbepaald doelwit treft Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN)

13 “Cyberwar” naast “cybercrime” en “hacktivism”
Bedreigingen vandaag “Cyberwar” naast “cybercrime” en “hacktivism” gelinkt aan fenomeen van gerichte aanvallen aanvallen (vermoedelijk) georganiseerd door staten (VS, China, Rusland,…) vaak andere doelwitten dan klassieke computers industriële systemen SCADA (supervisory control and data acquisition) niet altijd optimaal gewapend tegen aanvallen gevolgen potentieel veel erger Duqu, Stuxnet, Flame,… Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN)

14 Malware Malware contractie van “malicious software”
software met kwaadaardige bedoeling dus niet: spam, bug, hoax,… …maar niet altijd los van deze problemen in de volksmond: “virus” meest bekende aspect van informatiebeveiliging in de media misschien een beetje overschat als probleem zie ook boek H. 21 (online) Tot nu toe hadden we vooral bedreigingen bekeken die actief waren op het communicatiekanaal. Deze zijn meestal af te weren door de geschikte cryptografische technieken (of firewalls) te gebruiken. Er werd wel telkens verondersteld dat de computer of het systeem waarop cryptografische berekeningen gebeuren afgeschermd is van de actie van de aanvaller. Hier bekijken we bedreigingen die actief zijn op de eindsystemen zelf. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

15 Kort historisch overzicht (1)
Malware Kort historisch overzicht (1) 1981: eerste virus breekt uit ... op Apple II computers (PC bestaat nog niet) 1983: eerste virus op PC (alleen in testlab) beveiligingsexperiment van Fred Cohen (doctoraatsstudent aan de University of Southern California, USA) 1986: eerste virus voor PC breekt uit Brain: waarschijnlijk uit Pakistan, besmet de bootsector van 360kiB diskettes, richt geen schade aan Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

16 Kort historisch overzicht (2)
Malware Kort historisch overzicht (2) 1988: de Morris-worm breekt uit op MIT besmet daarna Cornell en Stanford, en na één dag ongeveer het hele (toenmalige) internet eerste paniekuitbraak op internet (niet de laatste!) 1989: eerste Trojaans paard meegeleverd met een diskette die informatie over AIDS bevat alleen betalingsgegevens voor diskette bleven zichtbaar verspreidt zich niet, maar zorgt wel voor heibel 1992: eerste virus voor Windows breekt uit Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

17 Kort historisch overzicht (3)
Malware Kort historisch overzicht (3) 1996: eerste virus voor Windows 95 breekt uit 1997: eerste virus voor Linux breekt uit 1999: Melissa Word macro-virus breekt uit eerste virus dat adressenboek van Outlook plundert om zich via talrijke s te verspreiden sindsdien: steeds meer, steeds sneller Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

18 Mogelijkheden van malware
Malware is software kan dus ook wat normaal programma kan geheugen opeisen schrijven, wissen van bestanden communiceren met netwerk typisch zelfde rechten als gewone gebruiker bij “zorgvuldig” ontwerp zich toeëigenen van “administrator”-rechten door uitbuiten van bugs bv. uitvoeren van gereserveerde taken openzetten van een achterdeur of “backdoor” Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

19 Illustraties van malware
Valkuil (“trapdoor”) niet-gedocumenteerd toegangspunt tot software laat toe toegangsbeveiligingsprocedure te omzeilen nuttig als test voor programmeur bij ontwerp… …maar gevaarlijk indien niet verwijderd bij productiesoftware …of indien geïmplementeerd met kwaad opzet te activeren door bv. speciale invoer vaak moeilijk te blokkeren door besturingssysteem Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

20 Illustraties van malware
Logische bom kwaadaardige software die actief wordt als zekere (logische) voorwaarden vervuld zijn bv. datum, aanwezigheid/afwezigheid bepaalde bestanden,… vaak het werk van misnoegde of afgedankte werknemers vooral systeembeheerders (met meestal “administrator”-toegang) kunnen gevaar zijn interne bedreiging: extra gevaarlijk In februari 2002 werd een ontslagen systeembeheerder in de VS veroordeeld tot 3 jaar en 5 maand gevangenis voor het plaatsen van een logische bom in het systeem van zijn vroeger bedrijf, met als gevolg USD 10 miljoen schade aan het bedrijf (bron: ICC Cybercrime review ). Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

21 Illustraties van malware
Worm autonoom programma; propageert van netwerk tot netwerk moet connecteren met andere netwerken via bestaande ( )programma’s via eigen programma mogelijk massale hoeveelheid computers te besmetten op lokaal systeem: mogelijk klassiek malwaregedrag openzetten van “backdoor” of achterdeur (toegang voor andere malware of hackers) gebruik besmette computer als zombie Een bekend voorbeeld was « Mydoom.A » eind januari 2004, eerste van een intussen erg lange reeks (intussen zaten we, begin mei 2006 volgens Symantec aan versie FS van deze worm). Deze eerste versie kwam als attachment, zorgde voor massaal verkeer, voerde een DoS aanval uit tegen « www.sco.com » en creëerde een achterdeur (die door andere malware kon uitgebuit worden) op besmette systemen. Een ander bekend voorbeeld was de « Blaster »-worm in de zomer van 2003, die gebruik maakte van een beveiligingslek in Windows 2000 en XP (waarvoor nochtans een patch al meer dan een maand beschikbaar was!). Deze worm poogde een DoS-aanval tegen « windowsupdate.com » (deze is gelukkig niet geslaagd), kon de PC doen crashen en creëerde een achterdeur op het besmette systeem. Deze (zeldzamere) variëteiten van malware zijn gevaarlijker aangezien ze geen interactie van de gebruiker vereisen (zoals het openen van een attachment). Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

22 Illustraties van malware
Spyware verzamelt en verstuurt informatie (systeeminformatie, wachtwoorden,...) over gebruiker adware een iets onschuldigere versie van spyware, met als bedoeling het toesturen van gerichte reclame vaak verpakt in normaal ogende software specifieke software om deze soort malware te detecteren meestal niet door standaard virusscanners Kazaa bevatte adware die uw gebruik van het netwerk analyseert. Het nadeel van programma’s om spyware/adware (zoals Spybot – Search&Destroy, of Ad-Aware) op te sporen en te verwijderen is dat ze enerzijds niet alle spyware detecteren, en dat ze anderzijds meestal ook een behoorlijk aantal maal loos alarm veroorzaken. De gebruiker zal dan zelf moeten uitmaken of het om effectieve spyware gaat of om loos alarm. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

23 Illustraties van malware
Traditioneel virus programma dat ander programma kan “besmetten” niet autonoom, heeft dragerprogramma nodig wijzigt programma door toevoegen van eigen code vermenigvuldigt zich door andere programma’s te besmetten (bevat stuk code dat hiervoor zorgt) overigens alle functionaliteiten van gewone software meestal specifiek voor bepaald besturingssysteem, soms ook van hardwareplatform maakt gebruik van specifieke zwakheden Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

24 Illustraties van malware
Virus: verschillende fasen slapende fase wacht op activatie (niet voor alle virussen) bv. datum, aanwezigheid van ander programma,… propagatie/replicatie vermenigvuldigt zich door andere programma’s of systeembestanden te besmetten typisch wanneer besmet programma uitgevoerd wordt besmette programma’s zorgen dan zelf mee voor propagatie Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

25 Illustraties van malware
Virus: verschillende fasen activatie als zekere voorwaarden vervuld zijn (voldoende aantal kopies van zichzelf gecreëerd, datum,…) uitvoering uitvoering van de functionaliteit van het virus De uitvoeringsfase kan breed spectrum aan mogelijkheden omvatten: van vrij onschadelijke berichten op het scherm, tot het wissen van bestanden of het flashen van de BIOS op de moederkaart. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

26 Uitbuiten van zwakheden van software
Malware Uitbuiten van zwakheden van software “exploits” bugs in browsers, programmas, OS,… bv. buffer overflow, die verloop van programma wijzigt zeer gevaarlijk als bug voorkomt in deel van het programma met verhoogde privileges uitvoering mogelijk van software met verhoogde privileges gevaarlijkste aanvallen niet zomaar te vermijden door voorzichtigheidsregels te respecteren Het is fout te denken dat alleen programma’s met open source kwetsbaar zijn voor het uitbuiten van deze zwakheden. De maandelijkse “security releases” van Microsoft tonen dit ook aan. Het is niet zo dat een hacker de broncode van een programma nodig heeft om zulke bugs te detecteren. De uitvoerbare code zal voor hem meestal volstaan. Er bestaat software die toelaat om uitvoerbare code te decompileren of om het verloop van een programma te analyseren. Dergelijke zwakheden kunnen uitgebuit worden door het kwetsbare programma de “geschikte” corrupte informatie te geven. Dit kan in de vorm van een bericht zijn (voor een programma), van een WWW-pagina, vaak met kwaadaardige java-applets of javascript-code (voor een browser), soms zelfs in de vorm van een corrupt jpeg-bestand (dat normalerwijze inert zou moeten zijn),… De risico’s op dergelijke aanvallen kunnen verminderd worden door de gebruikte software te “patchen” zodra een nieuw beveiligingslek gekend is. Maar de patch zelf kan informatie vrijgeven over het gedichte veiligheidslek, zodat hackers gemakkelijker “ongepatchte” software kunnen aanvallen (na “Patch Tuesday” komt “Exploit Wednesday”). Bovendien is men nog steeds niet beveiligd tegen zogeheten “zero-day-exploits” (waar de aanval plaatsvindt vooraleer de patch beschikbaar is, soms voordat de ontwikkelaar zich bewust is van het beveiligingslek). Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

27 Principiële illustratie van buffer overflow
Malware Principiële illustratie van buffer overflow Stack Stack Return-adres Return-adres Return-adres Buffer Buffer Malware Bij een normale werking komt de input in de buffer, waarna het programma de controle terugkrijgt via het terugkeeradres. Bij een kwaadaardige buffer overflow, zal er te veel data ingegeven worden, zodat de buffer overloopt. Het terugkeeradres en de stack worden overschreven. Het zo bekomen nieuwe terugkeeradres verwijst nu naar het begin van de code van de malware (die als een onderdeel van de invoerdata werd meegegeven). Na afloop van de data-invoer, wordt de controle niet teruggegeven aan het legitieme programma, maar aan de malware. De malware wordt als assembleercode ingegeven (met de beperking dat nulkarakters best uitgesloten worden, omdat ze vaak als het einde van een string beschouwd worden). De moeilijkheid kan zijn het return-adres exact naar het begin van de malware-code te laten wijzen (dit exact bepalen is eerder moeilijk). Deze moeilijkheid kan omzeild worden door de malwarecode te laten beginnen met een voldoende aantal “null operations”, zodat de kans dat het returnadres naar een mogelijk geldig begin voor de malwarecode verwijst toeneemt. De favoriete uit te voeren code is de zogeheten “shell code” (/bin/sh in Linux), die toelaat verder shell-instructies in te geven en een toegang te verkrijgen tot het aangevallen systeem. Als het aangevallen programma op dat ogenblik in een geprivilegieerde mode draait (bv. een programma dat als SUID root gedefinieerd werd onder Linux), dan krijgt de aanvaller ook deze rechten en verwerft hij de volledige controle over het aangevallen systeem. De nodige assembleercode voor een dergelijke “shell code” is vrij gemakkelijk te vinden. Programma Programma Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

28 Maatregelen tegen malware
Virusscanner vermijden dat malware systeem binnenraakt niet altijd 100% mogelijk opvangen van malware-infectie detectie van infectie identificatie van betrokken malware verwijdering van sporen die malware achtergelaten heeft herstellen van oorspronkelijke toestand van besmette bestanden/programma’s De virusscanner kan aangebracht worden op de terminal van de eindgebruiker, maar kan bovendien ook aangebracht worden op de toegangspunten tot een systeem ( scanner, combinatie met firewall,…). Deze laatste oplossing zorgt ervoor dat malware-aanvallen van buitenuit minder waarschijnlijk binnen het systeem zullen verspreid raken. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

29 Maatregelen tegen malware
Virusscanner 1e generatie herkenning signatuur van malware onderdeel van virus is meestal onveranderlijk bitsequentie herkennen lengte van programmabestanden bijhouden wijzigingen zijn teken van mogelijke infectie vereist wel kennis van malware geregeld updaten van definitiebestanden Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

30 Maatregelen tegen malware
Virusscanner 2e generatie verfijning van herkenningspatroon analyse van werking van malware zoeken naar encryptieonderdeel en sleutel zoeken naar onderdelen die terugkomen in polymorf virus verificatie van de data-integriteit van programmabestanden berekening van (al dan niet versleutelde) hashwaarde van deze bestanden Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

31 Maatregelen tegen malware
Virusscanner nieuwere generaties identificeren van malware op basis van acties i.p.v. op basis van structuur van malware aantal acties eerder beperkt wijzigen van programma- en systeembestanden laat toe onbekende malware te detecteren wapenwedren met nieuwe malware opvangen van malwareactiviteit door programma eerst in geëmuleerd systeem uit te voeren geen rechtstreekse toegang tot systeemmiddelen dus ook geen schade mogelijk vertraging van uitvoering van programma’s De tendens gaat naar het ontdekken van typisch malwaregedrag, eerder dan naar de malware zelf. Het aantal acties die malware tracht uit te voeren is doorgaans vrij beperkt. Nieuwere detectiesoftware tracht bepaalde gedragingen te onderscheppen. De gevaren van deze aanpak zijn dat ook legitieme programma’s bepaalde van deze gedragingen vertonen (loos alarm) en dat bepaalde malwaregedragingen te laat worden opgevangen (nadat al schade aangericht is). Specifieke malwaregedragingen kunnen zijn: pogen om bestanden te openen, lezen, wijzigingen, wissen,… formatteren van gegevensdragers wijzigen van programma’s, scripts, macros,… wijzigen van kritische systeeminstellingen (registry in Windows bv.) opzetten van netwerkcommunicaties pogen virusscanner of andere protectie uit te schakelen Om het negatieve effect van een loos alarm tegen te gaan, kan interactie met de gebruiker gevraagd worden, wat echter vereist dat de gebruiker weet wat hij doet, wat allesbehalve evident is (cf. lijst van lopende processen in Task Manager). Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

32 Maatregelen tegen malware
Voorzichtigheid meeste malware-infecties kunnen vermeden worden door elementaire voorzorgsmaatregelen vandaag hoofdbron van malware open geen onbekende of potentieel gevaarlijke -attachments (*.exe, *.vbs, *.pic,…) automatisch blokkeren mogelijk schakel macro’s uit voor documenten open geen onverwachte attachments Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

33 Maatregelen tegen malware
Voorzichtigheid meeste malware-infecties kunnen vermeden worden door elementaire voorzorgsmaatregelen installeer geen communicatiediensten (ftp-server, telnet-server,…) als deze niet nodig zijn hou definitiebestanden van virusscanner up-to-date centrale verdeling of automatische updates mogelijk zorg voor tijdig oplappen van bekende beveiligingslekken wacht niet te lang met het installeren van patches Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

34 Firewalls Firewall aangebracht tussen lokaal netwerk en internet
bedoeld als beveiligingsmuur tegen aanvallen van buitenaf controleert alle inkomend en uitgaand verkeer geen andere toegang tot lokaal netwerk mogelijk alarmen voor abnormaal gedrag mogelijk legt beperkingen op aan netwerkverkeer alleen verkeer toegelaten in beveiligingsbeleid moet zelf immuun zijn tegen ongeoorloofde toegang vereist betrouwbaar systeem / veilig besturingssysteem zie ook boek H. 22 (online) zie ook cursus communicatienetwerken Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

35 Firewalls Firewall-controles controle van diensten/richting
welke internetdiensten ( , WWW,…) zijn toegankelijk interne diensten van buitenaf externe diensten van binnenuit controle van gebruikers toegangscontrole tot diensten afhankelijk van gebruiker, wat authenticatietechniek vereist gedragscontrole controle hoe diensten gebruikt worden (bv. spamfilter, filter voor bepaalde websites, beveiliging tegen DoS,…) Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

36 Firewalls Beperkingen beveiliging van de perimeter van een bedrijf
geen beveiliging tegen interne aanvallen of medeplichtigheid van binnenuit geen beveiliging tegen aanvallen die firewall omzeilen mogelijke andere toegangspunten tot LAN kwetsbaar (draadloos, inbeltoegang,…) beperkte beveiliging tegen malware scannen van alle inkomend verkeer hierop soms geïntegreerd in firewall, maar wel kostelijk qua rekentijd Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

37 Firewalls Enkele types pakketfilter (“packet filter”)
gateway op circuitniveau (“circuit-level gateway”) gateway op applicatieniveau of proxy (“application-level gateway”) Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

38 Firewalls: pakketfilter
eenvoudigste component router analyseert elk inkomend en uitgaand IP-pakket beslist op basis van filterregels welke pakketten doorgelaten worden en welke tegengehouden worden Internet LAN Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

39 Filterregels op basis van informatie in IP-pakket
Pakketfilter Filterregels op basis van informatie in IP-pakket IP-adres van afkomst IP-adres van bestemming adres (afkomst/bestemming) voor transportniveau TCP- of UDP-poort (definieert applicaties als HTTP of SMTP) gebruikt transportprotocol routerinterface waarop pakket toekomt of naartoe gaat Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

40 Mogelijke standaardpolitiek voor filterregels (“forward policy”)
Pakketfilter Mogelijke standaardpolitiek voor filterregels (“forward policy”) “Block”/“discard” wat niet expliciet toegelaten is, is verboden voorzichtiger,… …maar hinderlijker voor gebruikers geleidelijk opbouwen van toelaatbare diensten “Allow”/“forward” wat niet expliciet verboden is, is toegelaten Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

41 Pakketfilter Voordelen basisbeveiliging
eenvoudig, snel en vrij goedkoop (redelijk) transparant voor applicaties en gebruikers niet-cryptografisch (dus ook geen sleutelbeheer) Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

42 Pakketfilter Nadelen geen bescherming tegen aanvallen op applicatieniveau alle instructies voor bepaalde applicatie worden toegelaten als applicatie toegelaten wordt geen gebruikersauthenticatie fouten in configuratie zijn snel gemaakt Gebruikersauthenticatie kan wel voorzien worden als de pakketfilter gecombineerd wordt met een IPSec-gateway (AH-mechanisme), dit verhoogt de efficiëntie van de firewall ten koste van extra rekentijd en het gebruik van IPSec (dus veel minder eenvoudig dan een gewone pakketfilter). Iemand vergeleek ooit het opstellen van filterregels voor een pakketfilter met het programmeren in assembleertaal. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

43 Pakketfilter Problemen risico voor IP-spoofing fragmentatie-aanval
laten geloven aan firewall dat pakket afkomstig is van toegelaten netwerk af te weren door geen inkomende pakketten toe te laten met een IP-adres uit het lokale netwerk merk op dat dit niet werkt als externe netwerken toegang moeten krijgen te vermijden door IPSec te gebruiken fragmentatie-aanval opdelen van IP-pakket in zeer kleine fragmenten, zodat informatie over TCP-header in ander IP-pakket zit af te weren door zulke kleine pakketten te verwerpen Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

44 Verbetering: “stateful inspection”
Pakketfilter Verbetering: “stateful inspection” bij opzetten TCP-connectie server gebruikt vaste TCP-poort (waarde < 1024) gebruiker krijgt voor sessie TCP-poort dynamisch toegekend (poort vanaf 1024) deze poort is enkel geldig voor 1 sessie dus niet bruikbaar voor vaste regeltabel van filter wel door dynamische tabel aan te maken van opgezette connecties met dynamisch toegekende TCP-poorten Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

45 Firewalls: gateway op circuitniveau
werkt als doorgeefluik op TCP-niveau of soms ook op UDP-niveau gateway externe communicatie interne communicatie Een gateway op circuitniveau kan ook min of meer beschouwd worden als een proxy-server voor TCP. De gateway ontvangt van de client een aanvraag om een TCP-connectie op te zetten. De gateway zorgt voor de authenticatie van de client en voor de nodige autorisatie De gateway zet een TCP-connectie op met de server in opdracht voor de client Na het opzetten van deze TCP-connectie zal de gateway de data doorgeven van de interne TCP-connectie naar de externe TCP-connectie (en omgekeerd). server client Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

46 Gateway op circuitniveau
Voordelen gateway hoeft applicatie niet te kennen generisch t.a.v. gebruikte applicaties geschikt om geauthentiseerd verkeer door firewall toe te laten te combineren met proxy servers (zie later) vooral voor applicaties waarvoor geen proxy servers bestaan Nadelen niet in staat om applicatiespecifieke bedreigingen op te vangen bv. Java applets, ActiveX,… Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

47 Gateway op circuitniveau
SOCKS meest gekende voorbeeld van gateway op circuitniveau vereist enkele aanpassingen aan de software van de client of aan de TCP/IP-stack om SOCKS-specifieke calls te ondersteunen toevoegen van SOCKS-library aan client software hercompileren van broncode geen probleem voor open source anders afhankelijk van softwareleverancier typische internetbrowsers zijn zo gewijzigd Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

48 Gateway op circuitniveau
SOCKS versie 4: basiselementen van een gateway op circuitniveau voor TCP “authenticatie” op basis van username versie 5: uitbreiding voor UDP ondersteuning voor IPv6 onderhandeling over authenticatiemethode: wachtwoord (zwak) of Kerberos v.5 (sterk) Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

49 Gateway op applicatieniveau of proxy
Firewalls: proxy Gateway op applicatieniveau of proxy voor specifieke applicatie bv. HTTP, SMTP, FTP,… verkeer voor deze applicatie kan alleen via proxy De authenticatie van de client door de proxy kan ook uitbesteed worden aan een authenticatieserver (bv. RADIUS-server). Dit is zelfs een wenselijke oplossing, aangezien kritische authenticatie-informatie dan niet meer op de firewall zelf terug te vinden is. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

50 Gateway op applicatieniveau of proxy
Firewalls: proxy Gateway op applicatieniveau of proxy proxy heeft toegang tot volledig protocol interne gebruiker vraag dienst aan bij proxy proxy verifieert en valideert aanvraag kan ook voor (zwakke of sterke) authenticatie van client zorgen mogelijkheid bepaalde onderdelen van dienst niet te ondersteunen stuurt aanvraag naar buiten door en retourneert resultaat naar gebruiker het verschil met een gateway op circuitniveau is dat een proxy het volledige (applicatie)protocol kan analyseren Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

51 Gateway op applicatieniveau of proxy
externe communicatie interne communicatie FTP SMTP HTTP Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

52 Proxy Voordelen veiliger dan pakketfilters of gateways op circuitniveau niet beperkt tot informatie in IP-pakketten toegang tot het volledige protocol van de applicatie beperkt aantal (toelaatbare) applicaties te onderzoeken andere toepassingen kunnen dan standaard geweigerd worden veel gemakkelijker auditing/logging te voorzien Een eenvoudig voorbeeld van een mogelijke toepassing van een proxy server, waarvoor een gateway op circuitniveau of een pakketfilter zouden tekortschieten, is het volgende. Stel dat men voor een (anonieme) FTP-server (binnen het lokale netwerk) wil toelaten dat interne en externe gebruikers bestanden kunnen plaatsen op de server, maar dat alleen interne gebruikers deze bestanden mogen lezen. Dan kan een proxy-server ervoor zorgen dat de PUT-instructie voor doorgelaten wordt, maar de GET-instructie geblokkeerd wordt voor alle verkeer dat de perimeter van de firewall doorkruist. Een andere situatie waarbij een proxy voordelig kan zijn is in het tegenhouden van gedistribueerde software (bv. web services), die typisch niet tegengehouden wordt door een pakketfilter (TCP-poort 80 van HTTP). Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

53 Proxy Nadelen vereist aanpassingen van gebruikersprocedures:
eerst aanmelden aan proxy server, dan pas aan eindbestemming of aanpassingen aan applicatie (zeldzaam) specifiek voor 1 welbepaalde applicatie (FTP, HTTP,…) veel meer verwerking per connectie ontdubbelde connectie niet alle diensten ondersteunen proxies even gemakkelijk niet mogelijk als protocolspecificatie niet bekend is, wat wel eens het geval is met “proprietary” software (SAP,…) Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

54 Firewalls: bastion Bastion
kritisch voor beveiliging binnen netwerkperimeter blootgesteld aan aanvallen van buitenuit typisch gebruikt als gateway voor systeem wenselijke eigenschappen beveiligde versie van besturingssysteem alleen essentiële diensten worden geïnstalleerd proxy-applicaties (DNS, FTP, SMTP, authenticatie van gebruikers,…) alleen minimaal nodige instructies van applicaties worden geïmplementeerd mogelijk sterke authenticatie voor toegang tot proxydiensten Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

55 Firewalls: bastion Bastion wenselijke eigenschappen
softwarecode voor proxymodules sterk vereenvoudigd en ontworpen voor beveiligde werking alle verkeer wordt gelogd, wat gedetailleerde auditinformatie biedt proxies onderling onafhankelijk, gemakkelijk vervangbaar behalve configuratiebestand heeft proxy geen schijftoegang nodig laat betrouwbare scheiding tussen netwerkconnecties toe Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

56 Firewalls: enkele (basis)configuraties
Praktisch voor niet al te kleine systemen firewall niet beperkt tot 1 enkel toestel (pakketfilter of gateway) combinatie van verschillende elementen hierna enkele basisconfiguraties Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

57 Simple dual-homed firewall
bastion beschermd netwerk Internet Een multi-homed host heeft meer dan 1 netwerkinterface, wat toelaat netwerkonderdelen van elkaar te scheiden, in dit geval tussen het externe en het interne netwerk. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

58 Dual-homed firewall beschermd bastion netwerk Internet externe
pakketfilter interne pakketfilter Internet Dit is een meer realistische aanpak van een dual-homed firewall. Drie elementen in dit firewall-systeem: externe en interne pakketfilter, en bastion. Er is een (externe) pakketfilter tussen het Internet en het bastion, en ook een (interne) pakketfilter tussen het bastion en het beschermde netwerk. De externe pakketfilter zorgt ervoor dat er alleen verkeer mogelijk is tussen het Internet en het bastion (en geen rechtstreekse communicatie tussen het beschermde netwerk en het Internet). De interne pakketfilter zorgt ervoor dat het beschermde netwerk alleen toegang tot de buitenwereld kan bekomen via het bastion. Deze configuratie is eenvoudig en erg veilig, maar niet erg flexibel: Het bastion kan een beperkende factor zijn op de prestaties van het netwerk aangezien het alle inkomend en uitgaand verkeer moet behandelen. Als het bastion uitvalt, is de connectie met de buitenwereld verloren (“single point of failure”). Applicatieprotocols zonder proxy-ondersteuning worden niet toegelaten. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

59 Dual-homed firewall extern subnetwerk beschermd bastion netwerk
externe pakketfilter interne pakketfilter Internet modem In deze situatie ontstaat een extern subnetwerk en een intern subnetwerk. Het externe subnetwerk is typisch geschikt om bepaalde niet-kritische diensten te herbergen, zoals een publieke webserver of toegangsservers voor andere netwerken (bv. modems of draadloze toegangspunten). publieke informatieserver intern subnetwerk Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

60 Screened host firewall, single-homed bastion
beschermd netwerk pakketfilter Internet Twee elementen in firewall-systeem: pakketfilter en bastion. De pakketfilter is geconfigureerd om alleen IP-pakketten van het Internet naar het bastion te aanvaarden, en voor pakketten afkomstig van het beschermde netwerk, alleen IP-pakketten van het bastion naar buiten toe. De functie van het bastion is te zorgen voor authenticatie en voor de proxy-functies. Voor bepaalde (veilig geachte) applicaties (bv. de toegang tot een publieke webserver, maar ook IPSec-verkeer) kan eventueel toegelaten worden dat alleen de pakketfilter optreedt en rechtstreeks communiceert met een deel van het achterliggende netwerk. De flexibiliteit van deze configuratie is daarmee een stuk groter, maar de beveiligingsgraad is potentieel minder hoog (juist omdat het mogelijk is het bastion uit te schakelen voor een deel van het verkeer). publieke informatieserver Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

61 Screened subnet firewall
subnetwerk beschermd netwerk bastion externe pakketfilter interne pakketfilter Internet modem Drie elementen in firewall-systeem: externe en interne pakketfilter, en bastion. Er is een (externe) pakketfilter tussen het Internet en het bastion, en ook een (interne) pakketfilter tussen het bastion en het beschermde netwerk. Zo ontstaat een geïsoleerd subnetwerk (dat “gescreend” wordt door het bastion), dat eventueel ook publieke informatieservers of inbelmodems kan bevatten (dit is ook de zone waarin draadloze toegangspunten het best worden geplaatst). Verkeer van het Internet naar het subnetwerk en van het beschermde netwerk naar het subnetwerk is aanvaardbaar, maar elk rechtstreeks verkeer tussen Internet en het beschermde netwerk zal door de pakketfilters tegengehouden worden. De aanwezigheid van de interne pakketfilter verbetert de beveiliging t.o.v. de situatie in een “screened host firewall”. Het is een configuratie die een behoorlijke graad van beveiliging biedt en tegelijk voldoende flexibiliteit. Ook hier is het mogelijk om voor bepaalde “veilige” toepassingen een rechtstreekse communicatie toe te laten tussen het beschermde netwerk en het internet, zonder het bastion te moeten gebruiken). Het subnetwerk wordt ook wel eens “gedemilitariseerde zone” (afgekort DMZ) genoemd. publieke informatieserver Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

62 Persoonlijke firewalls
software op PC minimale perimeter (PC i.p.v. volledig netwerk) beperktere functionaliteit beperktere betrouwbaarheid draait onder standaard besturingssysteem wel nuttig als basisprotectie tegen externe problemen Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

63 Firewalls Slotbemerkingen
firewalls lossen niet alle beveiligingsproblemen op alleen efficiënt als alle inkomend en uitgaand verkeer via firewall gaat gevaar van draadloze toegangspunten en inbelmodems geen bescherming tegen interne bedreigingen inclusief binnengehaalde malware beveiliging van een lokaal netwerk als een versterkte burcht is een vrij middeleeuws concept de beste beveiliging zal niet weerstaan aan de creativiteit van interne gebruikers Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

64 Doel van intrusiedetectie
detecteren van aanval tijdens aanval na aanval geen vervanging van preventie wel complementair opvangen van aanvallen die niet konden afgeweerd worden zie ook boek H (online), p. 20-8vv. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

65 Nut van intrusiedetectie
bij voldoende snelle detectie identificeren en verwijderen van indringer voordat schade aangericht is ook bij latere detectie zo snel mogelijk schade evalueren en herstellen afschrikkingsmiddel risico voor aanvaller om ontmaskerd te worden verzamelen van informatie over aanvalstechnieken Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

66 Intrusiedetectie Veronderstelling
indringer gedraagt zich anders dan legitieme gebruiker meetbaarheid van dit verschil reële situatie: overlap tussen beide gedragingen dus vals-positieve en vals-negatieve besluiten overlap Een vals-positief besluit is wanneer legitiem gebruik als intrusie wordt beschouwd. Als het aantal vals-positieve besluiten te groot wordt, is het ongeveer onmogelijk de werkelijke intrusies te scheiden van de grote hoeveelheid waarschuwingen voor loos alarm. Een vals-negatief besluit is wanneer een intrusie als legitiem gebruik wordt beschouwd. Deze intrusie zal dan typisch niet gedetecteerd worden. In de praktijk blijkt men vooral last te hebben van vals-positieve alarmen van intrusiedetectiesystemen, aangezien het legitiem gebruik veel vaker voorkomt dan de intrusiepogingen. legitieme gebruiker indringer Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

67 Praktische benaderingen
Statistische detectie van abnormaal gedrag op basis van informatie over gedrag van legitieme gebruikers over lange periode gebruikt statistische tests om te bepalen of gebruik normaal is drempeldetectie (“threshold detection”) definieert drempels (onafhankelijk van gebruiker) voor frequentie waarmee diverse gebeurtenissen optreden profielgebaseerd (“profile based”) stelt profiel van activiteiten van elke gebruiker op detecteert mogelijke veranderingen hierin Het voordeel van deze aanpak is dat dit weinig a priori kennis vereist. Het detectiesysteem “leert” wat normaal gedrag is en zoekt naar afwijkingen ten opzichte van dit normale gedrag. Het is niet afhankelijk van systeemspecifieke eigenschappen en kwetsbaarheden en daarom ook vrij vlot overdraagbaar tussen verschillende systemen. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

68 Praktische benaderingen
Op regels gebaseerde (“rule-based”) detectie poging om stel regels op te stellen om te bepalen of gedrag dat van indringer is detectie van anomalieën (“anomaly detection”) ontwikkelen van regels om afwijkingen van vroegere gebruikspatronen te ontdekken identificatie van indringing (“penetration identification”) expertsysteem dat zoekt naar verdacht gedrag bv. netwerk-IDS SNORT (http://www.snort.org) Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

69 Praktische benaderingen
Onderscheid tussen beide benaderingen statistische aanpak tracht normaal, verwacht gedrag te definiëren geschikt tegen indringers die trachten iemands account te misbruiken (“masquerader”) aanpak op basis van regels tracht geschikt gedrag te definiëren geschikt tegen legitieme gebruikers die misbruik maken van hun rechten of trachten toegang te krijgen tot middelen waartoe ze geen toegang mogen krijgen (“misfeasor”) In de praktijk zullen beide aanpakken vaak gecombineerd worden om een zo breed mogelijke waaier aan aanvallen te kunnen detecteren. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

70 Auditverslagen (“audit records”)
Audits Auditverslagen (“audit records”) fundamenteel onderdeel van IDS verslagen van gebruikersactiviteit: invoer voor IDS “native audit records” onderdeel van meeste multigebruikersbesturingssystemen geen extra software vereist… …maar niet altijd in meest geschikt formaat detectiespecifieke auditverslagen verzamelt informatie specifiek voor IDS mogelijk systeemonafhankelijk nadeel: 2 auditprogramma’s op hetzelfde systeem Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

71 Auditverslagen (“audit records”)
Audits Auditverslagen (“audit records”) mogelijke inhoudsstructuur gebruiker handeling voorwerp van de handeling mogelijke “exception” voor handeling gebruik van systeemmiddelen tijdsstempel ontbinding van gebruikerhandelingen in elementaire stappen zie ook boek H (online), p – 20-11 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

72 Statistische detectie
Drempeldetectie tellen van aantal maal dat specifieke gebeurtenis optreedt over zeker tijdsinterval bij overschrijding van drempel (grens voor redelijk aantal), vermoeden van intrusie op zichzelf weinig efficiënt veel vals-positieve en vals-negatieve besluiten wel nuttig in combinatie met andere technieken Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

73 Statistische detectie
Profielgebaseerd profiel bestaat typisch uit reeks parameters voor individuele gebruiker of groep gebruikers basisinvoer: auditverslagen ontwerper definieert metrieken voor gebruikersgedrag analyse van auditverslagen over tijdspanne levert activiteitsprofiel voor gemiddelde gebruiker definiëren van typisch gedrag analyse van actuele auditverslagen laat vergelijking toe met typisch gedrag detecteren van mogelijke intrusie Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

74 Statistische detectie
Profielgebaseerd mogelijke metrieken teller (“counter”, positief, strikt stijgend) bv. tellen van aantal inlogpogingen door gebruiker in tijdspanne van 1 uur meter (“gauge”, positief) bv. aantal connecties voor 1 gebruikersapplicatie interval timer (tijdsduur tussen gebeurtenissen) bv. tijdsduur tussen opeenvolgende inlogpogingen gebruik van systeemmiddelen (over zekere periode) bv. gebruikte rekentijd voor uitvoering programma Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

75 Statistische detectie
Profielgebaseerd tests om anomalieën in gemeten activiteit te bepalen gemiddelde waarde en standaardafwijking multivariate statistische modellen correlatie tussen veranderlijken Markov-processen overgangswaarschijnlijkheden tussen toestanden tijdreeksen operationeel model op basis van wat a priori abnormaal geacht wordt, eerder dan op basis van auditverslagen Gemiddelde waarden en standaardafwijkingen zijn waarschijnlijk de eenvoudigst te berekenen statistieken, maar zijn op zichzelf meestal niet zo bruikbaar. Andere statistische tests kunnen beter betrouwbare resultaten opleveren. Een mogelijk gebruik van Markov-reeksen zou erin kunnen bestaan de overgangen tussen bepaalde instructies te bekijken. De tijdreeksen kunnen nuttige informatie opleveren, als zekere gebeurtenissen elkaar te snel of te traag opvolgen t.o.v. het normale gebruik. Ook hiervoor bestaan de nodige statistische tests. Een operationeel model kan gebruikt worden wanneer men op voorhand al een gedachte heeft van wat abnormaal gedrag is, zonder auditverslagen te moeten analyseren. Een evident voorbeeld is een groot aantal inlogpogingen op korte tijd, dat een mogelijk teken is voor een poging tot intrusie. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

76 Detectie van anomalieën
Op regels gebaseerd Detectie van anomalieën vergelijkbaar met statistische detectie regels automatisch afgeleid uit historische auditverslagen om normaal gedrag te beschrijven voor gebruikers, programma’s, terminals,… actueel gebruik wordt getoetst aan stel regels voor efficiëntie van deze aanpak: groot aantal regels vereist (duizenden of meer) ook hier geen a priori kennis vereist van kwetsbaarheden van het systeem Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

77 Identificatie van indringing
Op regels gebaseerd Identificatie van indringing volledig verschillende aanpak op basis van expertsysteem gebruik van regels om gekende intrusiebenaderingen of intrusies die gebruik maken van gekende kwetsbaarheden te identificeren ook bruikbaar om verdacht gebruik op te sporen (zelfs binnen perken van “normaal” gebruik) regels specifiek voor gebruikt platform regels opgesteld door “experten” kwaliteit regels afhankelijk van kwaliteit experten actuele auditverslagen getoetst aan regels Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

78 Identificatie van indringing
Op regels gebaseerd Identificatie van indringing volledig verschillende aanpak mogelijke heuristieken gebruikers lezen geen bestanden in directories van andere gebruikers gebruikers hebben normaal slechts toegang tot schijf via hogere-niveau-functies uit besturingssysteem in tegenstelling tot malware bv. gebruikers kopiëren geen systeembestanden Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

79 Praktische bruikbaarheid
Intrusiedetectie Praktische bruikbaarheid compromis maken tussen capaciteit in het detecteren van werkelijke intrusies meeste intrusies moeten gedetecteerd kunnen worden beperken van het aantal maal dat loos alarm optreedt anders worden waarschuwingen uiteindelijk gewoon genegeerd meeste systemen hebben hiermee nog altijd een probleem Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans

80 Intrusiepreventiesystemen
I(D)PS “intrusion (detection and) prevention systems” extensie van traditionele IDS niet alleen monitoring/logging van activiteit ook actief tussenkomen bij detectie van intrusie pogen intrusie te blokkeren bv. droppen van ongewenste pakketten dus noodzakelijk “in-line” kan nuttig zijn om (D)DoS te bestrijden op voorwaarde dat toegangsbandbreedte voldoende is Informatiebeveiliging Department of Information Technology – Internet Based Communication Networks and Services (IBCN)

81 “Honeypots” “Honeypot” nepsysteem om aanvaller af te leiden bedoeling
aanvaller afleiden van kritische systemen informatie verzamelen over aanvallersgedrag bevatten nepinformatie legitieme gebruikers zullen geen toegang zoeken elke poging tot toegang dus verdacht aanvallen tegen honeypot moeten lijken te slagen gevoelig intrusiedetectiesysteem nodig om aanvallen te analyseren Er moet wel bij opgemerkt wordt dat honeypots ook niet onfeilbaar zijn. Intussen hebben indringers ook technieken ontwikkeld om honeypots te identificeren en te vermijden. Ook hier bestaat er dus een wapenwedren tussen aanvallers en verdedigers in het domein van informatiebeveiliging. Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans


Download ppt "Cursus informatiebeveiliging Eric Laermans – Tom Dhaene"

Verwante presentaties


Ads door Google