Masarykova univerzita }w¡¢£¤¥¦§¨  Fakulta informatiky !"#$%&'()+,-./012345

Testov´an´ıpropustnosti IDS

Diplomova´ prace´

Jakub Dobrovoln´y

Brno, 2011 Prohl´aˇsen´ı

Prohlaˇsuji,ˇzetato pr´aceje m´ymp˚uvodn´ımautorsk´ymd´ılem,kter´ejsem vypracoval samostatnˇe.Vˇsechny zdroje, prameny a literaturu, kter´ejsem pˇrivypracov´an´ıpouˇz´ıval nebo z nich ˇcerpal,v pr´aciˇr´adnˇecituji s uveden´ım ´upln´ehoodkazu na pˇr´ısluˇsn´yzdroj.

Jakub Dobrovoln´y Podˇekov´an´ı

R´adbych zde podˇekoval sv´emu vedouc´ımu pr´aceRNDr. V´aclavu Lorencovi a konzultantovi Mari´anovi Krˇcm´arikovi za vstˇr´ıcn´ypˇr´ıstup,rady a pˇripom´ınky pˇriˇreˇsen´ım´ediplomov´epr´acea pˇredevˇs´ımza ˇcas,kter´ymi vˇenovali. D´ale bych velmi r´adpodˇekoval sv´erodinˇeza podporu a motivaci v nejtˇeˇzˇs´ıch chv´ıl´ıch a tak´esv´ympˇr´atel˚um.Dˇekuji. Shrnut´ı

Pˇriprodeji nebo koupi nˇejak´ehov´yrobkuje d˚uleˇzit´eo nˇemzn´atco nejv´ıce ´udaj˚u.Tato pr´acese zab´yv´ametodikou pro testov´an´ısyst´em˚una detekci s´ıt’ov´ych pr˚unik˚u,kter´alze pouˇz´ıtna jak´emkoliv syst´emu, bez ohledu na jeho v´yrobce. Jsou probr´any r˚uzn´en´astroje vhodn´ek proveden´ınavrhovan´ych test˚ua na z´avˇerje nˇekolik test˚uprovedeno na v´yrobkuKernun a dosaˇzen´e v´ysledkyshrnuty. Kl´ıˇcov´aslova propustnost, Intrusion Detection System, IDS, syst´emna detekci s´ıt’ov´ych ´utok˚u,Kernun, tcpprep, tcpreplay, tcprewrite, wireshark Obsah

1 Uvod´ 10 1.1 Ofici´aln´ızad´an´ıpr´ace ...... 11

2 Syst´emy na detekci s´ıt’ov´ych pr˚unik˚u 12 2.1 Co jsou ID(P)S ...... 12 2.2 D˚uleˇzit´eterm´ıny ...... 12 2.3 Rozdˇelen´ıIDS ...... 13 2.3.1 Rozdˇelen´ıdle um´ıstˇen´ı...... 13 2.3.2 Rozdˇelen´ıdle principu detekce ...... 16 2.3.3 Rozdˇelen´ıdle okamˇzikuvyhodnocov´an´ı ...... 16 2.3.4 Rozdˇelen´ına z´akladˇeaktivity ...... 17

3 Parametry v´yrobk˚uIDS a existuj´ıc´ızp˚usoby testov´an´ı 19 3.1 Pˇrehledparametr˚udle v´yrobc˚u...... 19 3.2 Existuj´ıc´ıˇreˇsen´ı...... 21 3.3 Definice typu testov´an´ı...... 21 3.4 Kvantitativnˇemˇeˇriteln´echarakteristiky IDS ...... 22 3.4.1 Pokryt´ıhrozeb ...... 22 3.4.2 Pravdˇepodobnost faleˇsn´ych poplach˚u...... 22 3.4.3 Pravdˇepodobnost detekce ...... 23 3.4.4 Odolnost proti ´utok˚umveden´ymna IDS ...... 23 3.4.5 Schopnost zvl´adnut´ıvelk´ehomnoˇzstv´ıprovozu . . . . 23 3.4.6 Schopnost detekovat nov´e´utoky ...... 24 3.4.7 Dalˇs´ımˇeˇren´ı ...... 24 3.5 Testy IDS ...... 24 3.5.1 Obecn´ametodika ...... 24 3.5.2 MIT Lincoln Laboratory (MIT/LL) ...... 25 3.5.3 NSS Group ...... 25 3.6 Probl´emy pˇritestov´an´ı...... 26 3.6.1 Probl´emsbˇeru´utok˚ua softwaru ...... 26 3.6.2 Rozd´ıln´epoˇzadavky na testov´an´ır˚uzn´ych typ˚uIDS . 26 3.6.3 Typ provozu pouˇzit´yv testech ...... 27 3.7 Navrhovan´yzp˚usobtest˚u ...... 28

6 OBSAH

4 Software pro testov´an´ı 30 4.1 Nachyt´an´ıre´aln´ehoprovozu ...... 30 4.1.1 Wireshark ...... 30 4.2 Generov´an´ıprovozu ...... 31 4.2.1 Mausezahn ...... 32 4.2.2 Iperf ...... 32 4.3 Poˇcetsouˇcasn´ych spojen´ı ...... 33 4.4 Utoky´ ...... 33 4.4.1 Nessus ...... 33 4.4.2 Metasploit ...... 34 4.5 Uprava´ a pˇrehr´an´ıprovozu ...... 34 4.6 Kernun GUI ...... 34

5 Potˇrebn´adata pro vybran´etesty 37 5.1 Test stahov´an´ı– potˇrebn´adata ...... 37 5.2 Test instalace – potˇrebn´adata ...... 37 5.3 Test pos´ıl´an´ıdat – potˇrebn´adata ...... 38 5.3.1 Uprava´ uloˇzen´ych dat ...... 38 5.3.2 Statistika provozu s mal´ymipakety ...... 40

6 Proveden´ıa v´ysledkyvybran´ych test˚u 43 6.1 Test stahov´an´ı ...... 44 6.2 Test instalace ...... 44 6.3 Test pos´ıl´an´ıdat ...... 47

7 Z´avˇer 51

Literatura 52

7 Seznam obr´azk˚u

2.1 S´ıt’ov´eIDS...... 13 2.2 Zapojen´ıpomoc´ıSPAN...... 14 2.3 Hostitelsk´eIDS...... 15

4.1 Jitter...... 33 4.2 Kernun GUI...... 35 4.3 Kernun GUI...... 35 4.4 Kernun GUI...... 36

6.1 Pr˚ubˇehinstalace OS v bitech za sekundu...... 45 6.2 Pr˚ubˇehinstalace OS v paketech za sekundu...... 45 6.3 Pr˚ubˇehinstalace softwaru v bitech za sekundu...... 46 6.4 Pr˚ubˇehinstalace softwaru v paketech za sekundu...... 46 6.5 Pr˚ubˇehinstalace softwaru a OS v bitech za sekundu...... 47 6.6 Test pos´ıl´an´ıdat na intern´ımrozhran´ıv bitech za sekundu. . 48 6.7 Test pos´ıl´an´ıdat na intern´ımrozhran´ıv paketech za sekundu. 49 6.8 Test pos´ıl´an´ıdat na extern´ımrozhran´ıv bitech za sekundu. . 49 6.9 Test pos´ıl´an´ıdat na extern´ımrozhran´ıv paketech za sekundu. 50

8 Seznam tabulek

3.1 Parametry uv´adˇen´ejednotliv´ymiv´yrobci...... 20

4.1 Provoz seˇrazen´ypodle c´ılov´ehoportu...... 31 4.2 Provoz seˇrazen´ypodle protokolu...... 31

5.1 Statistika velikosti TCP paket˚u...... 40 5.2 Statistika velikosti UDP paket˚u...... 41 5.3 Statistika na z´akladˇeprotokolu...... 41 5.4 Statistika na z´akladˇec´ılov´ehoportu...... 41

9 Kapitola 1

Uvod´

N´arokyna spolehlivost a bezpeˇcnostpoˇc´ıtaˇcov´ych s´ıt´ıse v dneˇsn´ımsvˇetˇe neust´alezvyˇsuj´ı.Podniky jsou na funkˇcnostipoˇc´ıtaˇcov´es´ıtˇev´ıceˇcim´enˇe z´avisl´ea na z´akladˇetoho poˇzaduj´ıurˇcit´ystupeˇnzabezpeˇcen´ı.Ohroˇzeny jsou zejm´enakv˚uliobrovsk´emu mnoˇzstv´ıvir˚u,kter´ych dennˇemnoho pˇrib´yv´a,a tak´ehackery, kteˇr´ımaj´ıza c´ılpoˇskodit dobr´ejm´enofirmy, pˇr´ıpadnˇeodcizit d˚uleˇzit´aintern´ıdata a dokumenty. Jednou z moˇznost´ı,jak v´yraznˇeomezit toto riziko, je pouˇzit´ısyst´emu na detekci, ˇciprevenci, s´ıt’ov´ych ´utok˚u. C´ılemt´etopr´aceje zmapovat, jak´etechnick´eparametry u tˇechto v´yrobk˚u uv´ad´ır˚uzn´ıv´yrobci na trhu a jak´eexistuj´ızp˚usoby jejich testov´an´ı,a na z´akladˇet´etoanal´yzynavrhnout zp˚usob testov´an´ıtakov´ych s´ıt’ov´ych zaˇr´ızen´ı, a to zejm´enajejich propustnost a v´ykonnost. Vybran´etesty budou na z´avˇer prakticky provedeny a z´ıskan´ev´ysledkyshrnuty. Tato data usnadn´ıv´ybˇer bezpeˇcnostn´ıhoˇreˇsen´ıpro dan´ystupeˇnv´ykonnosti a bezpeˇcnostis´ıtˇe,na n´ıˇz bude pouˇz´ıv´ano. Pr´acitvoˇr´ısedm kapitol. Ve druh´ekapitole jsou bl´ıˇzepops´any syst´emy na detekci s´ıt’ov´ych ´utok˚u,jejich vlastnosti a r˚uzn´ezp˚usoby ochrany s´ıtˇe.Tˇret´ı kapitola analyzuje aktu´aln´ısituaci na trhu, uv´adˇen´eparametry u zaˇr´ızen´ı jednotliv´ych v´yrobc˚ua popis jiˇzexistuj´ıc´ıch ˇreˇsen´ıpro testov´anipropust- nosti a v´ykonnosti. Na z´akladˇetˇechto informac´ıjsou zde navrhnuty jednot- liv´etesty a jejich v´ystupn´ıdata. V kapitole 4 je pops´ansoftware, kter´yje moˇznovyuˇz´ıtpro proveden´ıjednotliv´ych test˚ua moˇznostitˇechto n´astroj˚u. Kapitola 5 se zab´yv´aprobl´ememz´ısk´an´ıs´ıt’ov´ehoprovozu, kter´yje pouˇzit k proveden´ınavrˇzen´ych test˚ua tak´ejeho ´upravou pro opakovan´epouˇzit´ı. V ˇsest´ekapitole je pops´anzp˚usobproveden´ıv´yˇsenavrˇzen´ych test˚ua jejich v´ysledky. Posledn´ıkapitola obsahuje shrnut´ıv´ysledk˚ua n´avrhy pro pˇr´ıpadn´e pokraˇcov´an´ıv dalˇs´ıpr´acina toto t´ema.

10 KAPITOLA 1. UVOD´

1.1 Ofici´aln´ızad´an´ıpr´ace

C´ılemje vytvoˇritmetodiku a postupy vhodn´epro ovˇeˇrov´an´ıv´ykonu a pro- pustnosti syst´em˚una detekci s´ıt’ov´ych pr˚unik˚utak, aniˇzby byla v´azan´ana v´yrobce jednoho syst´emu. To cel´eide´alnˇeza pomoci volnˇedostupn´ych n´astroj˚ua prostˇredk˚u.Po- psan´epostupy by mˇelyb´ytodzkouˇseny na IDS Kernun.

11 Kapitola 2

Syst´emy na detekci s´ıt’ov´ych pr˚unik˚u

2.1 Co jsou ID(P)S

Syst´emna detekci s´ıt’ov´ych ´utok˚u(IDS[3] – Intrusion Detection System) je zaˇr´ızen´ı(nebo aplikace), kter´amonitoruje s´ıt’ a/nebo syst´em,vyhled´av´a ˇskodliv´eaktivity nebo poruˇsen´ıbezpeˇcnostn´ıch z´asada vytv´aˇr´ızpr´avy, kter´e je schopn´epos´ılatspr´avcovsk´estanici nebo osobˇeodpovˇedn´eza bezpeˇcnostn´ı politiku s´ıtˇe.Detekce je proces monitorov´an´ıud´alost´ıv syst´emu poˇc´ıtaˇce nebo na s´ıti a jejich anal´yzaa hled´an´ı znak˚uud´alost´ı, kter´emohou b´yt poruˇsen´ımbezpeˇcnostn´ıch z´asad,pˇr´ıpadnˇepˇr´ımouzn´amkou ´utoku. Syst´emna prevenci s´ıt’ov´ych ´utok˚u(IPS[3] – Intrusion Prevention Sys- tem) prov´ad´ınejen detekci, ale pokouˇs´ıse i o zastaven´ıdetekovan´ych ´utok˚u. Syst´emy na prevenci s´ıt’ov´ych ´utok˚ujsou schopny na rozd´ılod IDS i pˇr´ımo reagovat na detekovan´ehrozby pomoc´ı zablokov´an´ı spojen´ı z nebezpeˇcn´e IP adresy nebo zmˇenoubezpeˇcnostn´ıhonastaven´ı(napˇr´ıkladpˇrenastaven´ı firewallu tak, aby stroj, ze kter´ehoje veden potenci´aln´ı´utok,byl po urˇcitou dobu v karant´enˇe).

Tato pr´acese zamˇeˇr´ızejm´enana syst´emy na detekci s´ıt’ov´ych pr˚unik˚u.

2.2 D˚uleˇzit´eterm´ıny

• False Positive – faleˇsn´ypoplach. Tento term´ınoznaˇcujelegitimn´ıpro- voz, kter´yje nespr´avnˇeoznaˇcen jako ´utoknebo potenci´aln´ıhrozba.

• Jitter – kol´ıs´an´ızpoˇzdˇen´ıpaket˚upˇripr˚uchodu s´ıt´ı(vznik´anapˇr´ıklad na firewallech a IDS zaˇr´ızen´ıch).

12 KAPITOLA 2. SYSTEMY´ NA DETEKCI S´ITOVˇ YCH´ PRUNIK˚ U˚

2.3 Rozdˇelen´ıIDS

Syst´emy na detekci ˇciprevenci ´utok˚uje moˇzn´epodle nˇekter´ych sv´ych para- metr˚u,zp˚usobuprov´adˇen´ıanal´yzyprovozu ˇci m´ıstanasazen´ırozdˇelitn´asle- duj´ıc´ımzp˚usobem[4].

2.3.1 Rozdˇelen´ıdle um´ıstˇen´ı S´ıt’ov´eIDS Senzory v s´ıt’ov´ych syst´emech jsou um´ıstˇeny na hranic´ıch s´ıtˇe,velmi ˇcasto v demilitarizovan´ych z´on´ach. Tato zaˇr´ızen´ızachyt´avaj´ıveˇsker´yprovoz, kter´y proud´ıdo vnitˇrn´ıs´ıtˇe,analyzuj´ıjednotliv´epakety a hledaj´ıˇskodliv´adata. Mohou b´ytpˇripojeny pˇr´ımo na s´ıti, jak je vidˇetna obr´azku2.1, kde ˇcerven´ezaˇr´ızen´ıoznaˇcujeIDS nebo IPS, a veˇsker´adata jdouc´ıdo lok´aln´ı s´ıtˇeproud´ıpˇres nˇej.

Obr´azek2.1: S´ıt’ov´eIDS.

Senzory mohou b´yttak´epˇripojeny na hub, kter´yautomaticky pakety pˇrich´a- zej´ıc´ına jeden port pos´ıl´ana vˇsechny ostatn´ı,nebo switch, na kter´emje na- staven tzv. port mirroring. To znamen´a,ˇzekopie paket˚ujdouc´ıch na monito- rovan´eporty (lze pˇr´ıpadnˇenastavit na cel´evirtu´aln´ıLAN s´ıtˇe,VLAN) jsou pos´ıl´any z´aroveˇni na port, ke kter´emu je pˇripojeno IDS zaˇr´ızen´ı.Spoleˇcnost Cisco tuto moˇznostuv´ad´ıpod pojmem Switched Port Analyzer[5] (SPAN) a firma 3Com pouˇz´ıv´aterm´ınRoving Analysis Port. Na obr´azku2.2[6] je port mirroring zn´azornˇengraficky.

13 KAPITOLA 2. SYSTEMY´ NA DETEKCI S´ITOVˇ YCH´ PRUNIK˚ U˚

Obr´azek2.2: Zapojen´ıpomoc´ıSPAN.

Tato moˇznostm˚uˇzeobn´aˇsetriziko, pokud se podaˇr´ı ´utoˇcn´ıkovi dostat ke SPAN portu. Mˇelby tak k dispozici d˚uleˇzit´einformace o v´ıcepoˇc´ıtaˇc´ıch v lok´aln´ıs´ıtik proveden´ıdalˇs´ıho´utoku.Mohl by takto pˇr´ımoodposlouch´avat neˇsifrovan´ahesla nebo dalˇs´ıd˚uleˇzit´einformace ze servisn´ıch protokol˚uniˇzˇs´ıch vrstev, napˇr´ıkladspanning tree.

Hostitelsk´eIDS Hostitelsk´esyst´emy na detekci ˇciprevenci s´ıt’ov´ych ´utok˚ujsou nainsta- lov´any lok´alnˇena poˇc´ıtaˇc´ıch pˇripojen´ych do s´ıtˇe.To ˇcin´ılok´aln´ıIDS v´ıce pˇrizp˚usobivˇejˇs´ımiv porovn´an´ıse s´ıt’ov´ymiIDS. Mohou b´ytnainstalov´any na mnoho r˚uzn´ych typ˚uzaˇr´ızen´ı– servery, stanice a pˇr´ıpadnˇei notebooky – a zohlednit zdroje a mnoˇzstv´ıinformac´ı,kter´eod zaˇr´ızen´ıpoˇzadujeme.Je vhodn´eje pouˇz´ıvat tehdy, pokud je potˇrebaochr´anitmnoho poˇc´ıtaˇc˚u,kter´e cestuj´ımezi r˚uzn´ymis´ıtˇemi. Jsou zaloˇzeny na softwarov´emagentovi, kter´ybˇeˇz´ınen´apadnˇena pozad´ı a sleduje veˇskerou aktivitu poˇc´ıtaˇce.Proch´az´ısyst´emov´avol´an´ı,logy, zmˇeny na syst´emu soubor˚ua podobnˇe.

Jak je vidˇetna obr´azku 2.3, hostitelsk´eIDS je nainstalov´anona kaˇzd´em z pˇripojen´ych poˇc´ıtaˇc˚u.

V´yhodou s´ıt’ov´ych syst´em˚uje spr´ava pouze mal´eho poˇctu zaˇr´ızen´ı, kdy pˇrivhodn´emrozm´ıstˇen´ımohou monitorovat rozs´ahlous´ıt’. Tak´enijak neo- vlivˇnuj´ıprovoz s´ıtˇe.Nev´yhodou je ovˇsemprobl´emse zpracov´an´ımvˇsech pa- ket˚uv rozs´ahl´ych s´ıt´ıch s velk´ymprovozem a jiˇzzm´ınˇen´epouˇzit´ıv pˇrep´ına- n´ych s´ıt´ıch, kde je nutno pouˇz´ıtport mirroring. Tak´enejsou schopny analy- zovat ˇsifrovan´yprovoz a nelze vˇetˇsinoujednoznaˇcnˇeurˇcit,zda byl zapoˇcat´y

14 KAPITOLA 2. SYSTEMY´ NA DETEKCI S´ITOVˇ YCH´ PRUNIK˚ U˚

Obr´azek2.3: Hostitelsk´eIDS.

´utok´uspˇeˇsnˇeukonˇcen.Probl´emtak´enastane, pokud m´amev s´ıtipˇrenosn´e poˇc´ıtaˇcea uˇzivatel se pˇripoj´ıdo jin´es´ıtˇe,kde bude jeho stroj infikov´an.Po- kud se pot´epˇripoj´ızpˇetdo s´ıtˇechr´anˇen´epomoc´ıs´ıt’ov´ehoIDS zapojen´eho pˇr´ımov s´ıti, m˚uˇzenakazit i ostatn´ıstroje, protoˇzelok´aln´ıprovoz skrze toto IDS nemus´ıproch´azet. Hostitelsk´esyst´emy maj´ıv´yhodu v detekci ´utok˚uveden´ych pˇresˇsifrovan´y kan´al,´utoklze detekovat napˇr´ıkladanal´yzoulog˚u.Lze tedy odhalit i ´utoky, kter´es´ıt’ov´eIDS nepozn´a.Nev´yhodou je naopak sloˇzit´aadministrace, proto- ˇzekaˇzd´ysyst´emmus´ım´ıtsvoji vlastn´ıkonfiguraci a tak´em˚uˇzeb´ytnapaden v r´amci´utokuna tento syst´em.U hostitelsk´ych syst´em˚uale naopak odpad´a probl´ems pˇresunempracovn´ıch stanic, protoˇzejsou chr´anˇen´elok´alnˇe. S´ıt’ov´ea hostitelsk´esyst´emy na detekci s´ıt’ov´ych ´utok˚uvˇsakspolu mohou spolupracovat. Je tedy moˇzn´evytvoˇritkomplexn´ısyst´em,kter´ykombinuje oba typy, m´ıtchr´anˇenoucelou s´ıt’ nezbytnˇemnoha s´ıt’ov´ymiIDS a jednot- liv´eklienty lok´aln´ımiIDS a ty nakonfigurovat napˇr´ıkladpouze pro ochranu pˇred´utokyna datab´aze,kdyˇzbude nainstalov´anna datab´azov´emserveru. Spojuj´ıse zde v´yhody obou typ˚u,probl´ememvˇsaknad´alez˚ust´av´apomˇernˇe obt´ıˇznˇejˇs´ınasazen´ıa spr´ava.

D´alev t´etopr´acibudeme uvaˇzovat pouze s´ıt’ov´esyst´emy na detekci s´ıt’ov´ych ´utok˚u.

15 KAPITOLA 2. SYSTEMY´ NA DETEKCI S´ITOVˇ YCH´ PRUNIK˚ U˚

2.3.2 Rozdˇelen´ıdle principu detekce Porovn´av´an´ıvzor˚u Detekce ´utok˚ua ˇskodliv´ehoprovozu se prov´ad´ına z´akladˇesrovn´an´ıs da- tab´az´ıvzor˚u.Vzor, nebo t´eˇzpravidlo ˇcisignatura, odpov´ıd´asledu ud´alost´ı, kter´ejsou typick´epro naruˇsen´ısyst´emu nebo ´utok,kter´yje zn´am´y.Tyto vzory mohou b´ytvytv´aˇreny administr´atorya definov´any za pomoci koneˇc- n´ych automat˚unebo pravdˇepodobnostn´ıch model˚u. V´yhodou je existence vzor˚upro znaˇcnouˇc´astzn´am´ych ´utok˚ua moˇznost jejich optimalizace. Je ovˇsemsnadn´etakov´ysenzor obej´ıt,pokud bude ´utok veden zp˚usobem, jenˇznen´ıv signatur´ach obsaˇzen.

Detekce statistick´eanom´alie Syst´emy zaloˇzen´ena detekci anom´ali´ıv provozu dlouhodobˇesleduj´ıprovoz na s´ıtia tento d´alepovaˇzuj´ıza norm´aln´ıchov´an´ı.V pˇr´ıpadˇe,kdy je pˇredem dan´aodchylka od tohoto stavu, je toto jedn´an´ıvyhodnoceno jako moˇzn´y ´utok.Napˇr´ıkladse dvojn´asobnˇezv´yˇs´ıpoˇcetDNS dotaz˚u. Pˇrednost´ıtohoto principu je detekce nov´ych ˇciodliˇsnˇeproveden´ych zn´a- m´ych ´utok˚u,dan´ıza to je ale velk´emnoˇzstv´ıfaleˇsn´ych poplach˚u,jelikoˇzse uˇzivatel´emohou chovat v nˇekter´ych chv´ıl´ıch jinak neˇzobvykle. Instalace se tak´eneobejde bez dlouh´eho´uvodn´ıhoprovozu, neˇzsyst´emnasb´ır´adostatek dat, a pro korektn´ıfunkˇcnostje d˚uleˇzit´ezajistit, aby tento provoz pokud moˇznoneobsahoval ˇz´adn´e´utoky.

Korelaˇcn´ı Korelaˇcn´ıIDS funguj´ına z´akladˇevyhled´av´an´ıspojitost´ına v´ıcem´ıstech. Pokud je detekov´an´utoknapˇr´ıkladna Microsoft IIS (Internet Information Services) web server a na dan´emstroji je nainstalov´anoperaˇcn´ısyst´emLinux s bˇeˇz´ıc´ı sluˇzbou apache server, nemus´ı b´ythostitelsk´ymIDS generov´ano ˇz´adn´evarov´an´ı. V´yhodou je mal´apravdˇepodobnost faleˇsn´ych poplach˚uz d˚uvodu kombi- nace jev˚u.

2.3.3 Rozdˇelen´ıdle okamˇzikuvyhodnocov´an´ı V re´aln´emˇcase Syst´emy pracuj´ıc´ı v re´aln´emˇcasesb´ıraj´ı, zpracov´avaj´ı a vyhodnocuj´ı in- formace pr˚ubˇeˇznˇe.Jejich v´yhodou je velmi rychl´a,bezprostˇredn´ıreakce a rychlejˇs´ızotaven´ıse z ´utoku,ale pokud je zaˇr´ızen´ıpˇripojeno do vˇetˇs´ıs´ıtˇe, nebo vznikne n´arazovˇevelk´emnoˇzstv´ıprovozu, je tento proces v´ykonnostnˇe n´aroˇcn´ya st´av´ase tak m´enˇespolehliv´ym.Nˇekter´e´utokyjsou viditeln´eaˇz s dostateˇcn´ymmnoˇzstv´ımnasb´ıran´ych dat a nemus´ıtak b´ytzaznamen´any.

16 KAPITOLA 2. SYSTEMY´ NA DETEKCI S´ITOVˇ YCH´ PRUNIK˚ U˚

D´avkovˇeorientovan´ypˇr´ıstup Informace se sb´ıraj´ıpravidelnˇepo urˇcit´emintervalu a n´aslednˇese vyhod- nocuj´ı.Hod´ıse sp´ıˇsepro m´alorizikov´eprostˇred´ı,urˇcit´ytyp provozu nebo mohou b´ytpouˇzity jako doplnˇekk ostatn´ımform´amzabezpeˇcen´ı. Mezi v´yhody patˇr´ımal´ezat´ıˇzen´ısyst´emu, d´ıkydelˇs´ımu sledovan´emu ob- dob´ılze odhalit dlouhodob´ypozvoln´y´utokna stejn´yc´ıla tak´eje v pˇr´ıpadˇe nutnosti moˇzn´amanu´aln´ıanal´yza. Naopak ovˇsemnen´ımoˇzn´aokamˇzit´are- akce a je d˚uleˇzit´em´ıtmnoho m´ıstana ukl´ad´an´ıvelk´ych objem˚udat. Reˇsen´ımˇ tohoto probl´emu mohou b´ytnapˇr´ıkladvhodn´eretenˇcn´ıpolitiky, zejm´enaro- tace log˚unebo komprese.

2.3.4 Rozdˇelen´ına z´akladˇeaktivity Pasivn´ıIDS Syst´emna detekci s´ıt’ov´ych ´utok˚uje pasivn´ısyst´em. To znamen´a,ˇzepokud je potenci´aln´ıriziko detekov´ano,zap´ıˇse se tato ud´alostdo logu a m˚uˇzese poslat upozornˇen´ıadministr´atorovi.

Aktivn´ıIDS Syst´emy na prevenci s´ıt’ov´ych ´utok˚ujsou aktivn´ı syst´emy. Reaguj´ı tedy nˇejak´ymzp˚usobem na ˇskodlivou aktivitu. Nebezpeˇcn´aud´alostse zaeviduje a podle nastaven´ısyst´emu je zdrojov´aIP adresa zablokov´anapo urˇcitoudobu, pˇr´ıpadnˇese m˚uˇze zmˇenitnastaven´ıfirewallu tak, aby se tato IP adresa do budoucna nemohla dostat do lok´aln´ıs´ıtˇe.

Protoˇzejsou tato zaˇr´ızen´ıum´ıstˇenana hranic´ıch lok´aln´ıch s´ıt´ı,jak lze vidˇet na obr´azku2.1, potˇrebujeme, aby byla dostateˇcnˇerychl´a.Veˇsker´yprovoz proch´az´ıt´ımto bodem a jak se ˇr´ık´a– ”Retˇezjeˇ tak slab´y,jako jeho nej- slabˇs´ıˇcl´anek”.Jinak ˇreˇceno,m˚uˇzemem´ıthodnˇerychl´epˇripojen´ıdo inter- netu, ale pokud budeme m´ıtrelativnˇepomal´eIDS, tak se bud’ pˇripojen´ı zpomal´ına maxim´aln´ırychlost IDS, nebo IDS nebude ˇc´astprovozu kon- trolovat, pˇr´ıpadnˇenebude inspekce proch´azej´ıc´ıch dat tak d˚ukladn´a.Ani jedna z moˇznost´ınen´ıvhodn´a,pokud chceme zachovat jak rychlost, tak i bezpeˇcnosts´ıtˇe. Jestliˇzez´akazn´ıkpoˇzadujetakov´yv´yrobek, potˇrebujevˇedˇet,jak v´ykonn´e kter´ekonkr´etn´ızaˇr´ızen´ıje. A nelze se spokojit pouze s parametrem propust- nost bez dalˇs´ıch informac´ı,ale je potˇrebauvaˇzovat i o nastaven´ı,kter´ebude splˇnovat minim´alnˇez´akladn´ıbezpeˇcnostn´ıpoˇzadavky. Tyto poˇzadavky se budou r˚uznˇeliˇsitna z´akladˇepotˇrebjednotliv´ych s´ıt´ı,ale nˇekter´ebezpeˇcnost- n´ız´asadymohou b´ytspoleˇcn´e.Napˇr´ıkladkontrola, zda-li zdrojov´eIP adresy odchoz´ıhoprovozu spadaj´ıdo rozsahu vnitˇrn´ıs´ıtˇe.

17 KAPITOLA 2. SYSTEMY´ NA DETEKCI S´ITOVˇ YCH´ PRUNIK˚ U˚

Pokud si nˇejak´eIDS poˇr´ıd´ıme, tak od nˇejˇcek´ame,ˇzenebude pouze pˇrepos´ılatpakety, ale bude i hl´ıdata detekovat potenci´aln´ıhrozby. Pokud bychom napˇr´ıkladmˇeli pˇripojen´ıdo internetu s´ıt´ıo rychlosti 1 Gbit, tak n´amteoreticky staˇc´ıIDS s propustnost´ı1 Gbit. Ale jelikoˇzpoˇzadujemei dodateˇcnoureˇzii,tedy sledov´an´ıprovozu a detekov´an´ıhrozeb, a u nˇekter´ych v´yrobk˚uud´avan´apropustnost neodpov´ıd´apropustnosti s veˇskerou inspekc´ı dat, tak se propustnost sn´ıˇz´ıa jsme t´ımp´ademlimitov´anit´ımto zaˇr´ızen´ım. A nejen, ˇzem´amepomalejˇs´ıpˇripojen´ı,ale i neust´al´evysok´evyt´ıˇzen´ıtohoto zaˇr´ızen´ım˚uˇzesn´ıˇzitjeho ˇzivotnost.

18 Kapitola 3

Parametry v´yrobk˚uIDS a existuj´ıc´ızp˚usoby testov´an´ı

Aby tato pr´acemohla podat specifiˇctˇejˇs´ıtechnick´adata o zaˇr´ızen´ıch IDS, je potˇrebanejdˇr´ıve analyzovat, jak´eparametry uv´adˇej´ıo sv´ych v´yrobc´ıch r˚uzn´espoleˇcnosti,kter´eje vyr´ab´ıˇciprod´avaj´ı.Na z´akladˇet´etoanal´yzybude navrhnuta forma v´ysledk˚ua seznam doporuˇcen´ych parametr˚u,kter´eby bylo dobr´euv´adˇetu tˇechto zaˇr´ızen´ı.V anal´yzebudou tak´epops´any jiˇzproveden´e experimenty pˇri testov´an´ıIDS zaˇr´ızen´ıa doporuˇcen´ıpro pˇr´ısluˇsn´etesty.

3.1 Pˇrehledparametr˚udle v´yrobc˚u

Pokud se ponoˇr´ımedo hlubin internetu a zaˇcnemehledat parametry syst´em˚u na detekci s´ıt’ov´ych ´utok˚u,zjist´ıme,ˇzemaj´ıhezky udˇelan´eprezentace s ´umys- lem zaujmout potenci´aln´ıhokupce. Ale s technick´ymiparametry uˇzto tak slavn´enen´ı.Informace uveden´en´ıˇzebyly nalezeny na internetov´ych str´an- k´ach nejv´yznamnˇejˇs´ıch v´yrobc˚uIDS. A to jak celosvˇetovˇezn´am´ych (Check Point[7], Cisco[8], Sidewinder[9]), tak dobˇrese prod´avaj´ıc´ıch u n´asv Cesk´eˇ republice (Astaro[10], Fortinet[11], Juniper[12] a Trusted Network Solutions (TNS)[13]). V´ysledn´eparametry jsou vidˇetv tabulce 3.1.

V popisu v´yrobk˚uje kladen d˚urazpˇredevˇs´ımna zaujmut´ız´akazn´ıka a je pod´ansp´ıˇsejako reklama, neˇzseznam d˚uleˇzit´ych technick´ych dat. Z tabulky lze vypozorovat, ˇzenejv´ıceshod je v pˇr´ıpadˇeparametru poˇcetsouˇcasn´ych ” spojen´ı“, konkr´etnˇeu 6 v´yrobc˚u.D´alejsou zde po dvou v´yskytech parame- try propustnost firewallu“, propustnost IPS“ a propustnost IPsec VPN“. ” ” ” Zbyl´eparametry se uˇzvyskytuj´ıpouze po jednom.

19 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJ´IC´I ZPUSOBY˚ TESTOVAN´ ´I √ TNS √ √ Juniper √ √ √ √ √ Fortigate √ √ √ √ Astaro √ √ √ √ Sidewinder √ √ √ √ Cisco √ √ √ √ √ Check point Tabulka 3.1: Parametry uv´adˇen´ejednotliv´ymiv´yrobci. Parametr Propustnost IPS PoˇcetVLAN s´ıt´ı Propustnost VPN PoˇcetVPN tunel˚u Propustnost firewallu Maxim´aln´ıpropustnost octmi˚z hodinu Poˇcetemail˚uza Propustnost IPsec VPN octoˇanyhspojen´ı Poˇcetsouˇcasn´ych Propustnost firewallu a IDS Propustnost paketov´ehofiltru rpsns piac´h filtru Propustnost aplikaˇcn´ıho ai´l´poutotantiviru Maxim´aln´ıpropustnost Velikost a rychlost pˇripojen´ıs´ıtˇe ´knotochranyV´ykonnost proti ´utok˚um Propustnost firewallu, VPN a IPS octˇioe´c pˇresIPsec VPN Poˇcetpˇripojen´ych

20 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJ´IC´I ZPUSOBY˚ TESTOVAN´ ´I

3.2 Existuj´ıc´ıˇreˇsen´ı

Dosud nebyla navrˇzenaˇz´adn´aobecn´ametodika pro testov´an´ısyst´em˚una de- tekci s´ıt’ov´ych zaˇr´ızen´ı.Odpovˇed’, proˇctomu tak je, je prost´a.IDS jsou pˇr´ıliˇs komplexn´ıa sloˇzit´azaˇr´ızen´ı,a je tedy velmi obt´ıˇzn´enavrhnout sadu test˚u tak, aby mohla b´ytpouˇzitajednak opakovanˇea jednak pro jak´ekoliv nasta- ven´ıtestovan´ehozaˇr´ızen´ı.Abychom mohli dvˇeˇciv´ıcezaˇr´ızen´ıvz´ajemnˇepo- rovn´avat, je nezbytn´e,aby test byl pro vˇsechny zaˇr´ızen´ıproveden za stejn´ych podm´ınek. Pouˇzit´ıjiˇzexistuj´ıc´ıch metod pro testov´an´ırouter˚uˇciswitch˚unen´ıvhod- n´e,jelikoˇzroutery analyzuj´ıpakety pouze do tˇret´ıs´ıt’ov´evrstvy podle ISO/ OSI modelu[23], kdeˇztoIDS pˇridetekci ´utok˚umus´ıanalyzovat pakety mno- hem v´ıcedo hloubky.

Pro r˚uzn´eskupiny lid´ıbude i r˚uzn´etestov´an´ıa budou t´eˇzpoˇzadovat odliˇsn´y v´ystuptˇechto test˚u. Z´akladn´ıot´azkyjsou zda zaˇr´ızen´ıfunguje a jak dobˇre funguje[15]. Pro v´yvojov´epracovn´ıkyje vhodn´em´ıtobjektivn´ıodpovˇedina ot´azku,jak dobˇresyst´emfunguje, u z´akazn´ık˚unaopak subjektivn´ı– ˇcasto specifick´ea bez moˇznostiznovuproveden´ı,obzvl´aˇstˇepˇritestov´an´ına vlastn´ı s´ıti. Objektivn´ıˇreˇsen´ı by mˇelob´ytzaloˇzenona dobˇrezdokumentovan´em a otevˇren´emstandardu a tak´eopakovateln´e.U subjektivn´ıho hodnocen´ı vˇetˇsinoustaˇc´ı odpovˇedˇet na ot´azku,kter´ez tˇechto zaˇr´ızen´ı je lepˇs´ı, ne- mus´ıtedy b´ytnutnˇeopakovateln´e.Bude slouˇzithlavnˇepˇriv´ybˇeruvhodn´eho zaˇr´ızen´ı.

3.3 Definice typu testov´an´ı

Zjistit, co pˇresnˇepotˇrebujemetestovat a jak´ev´ystupy z´ıskat, je sloˇzit´e[16]. Napˇr´ıkladpˇristavbˇemost˚uje nutn´ezajistit jeho integritu. Takov´ytest by mohl zahrnovat oznaˇcen´ıslab´ych m´ıst,oznaˇcen´ım´ıst, na kter´aje vyv´ıjen nejvˇetˇs´ıtlak a tak´eco se nejsp´ıˇsem˚uˇzepokazit pˇripˇret´ıˇzen´ımostu. Tyt´eˇz pˇredpoklady bychom mohli pouˇz´ıt i u testov´an´ıIDS. Napˇr´ıkladu s´ıt’ov´ych IDS bude nejv´ıcevyt´ıˇzen´yproces anal´yzyprotokol˚unebo srovn´av´an´ısigna- tur. Poˇc´ıtaˇcov´ekomponenty maj´ıtak´eurˇcit´aomezen´ına v´ykon. Pouze dan´y poˇcetcykl˚uCPU lze prov´estza jednotku ˇcasu,je omezeno m´ıstopro ukl´ad´an´ı zdrojov´ych k´od˚u,pouze urˇcit´ypoˇcetcykl˚uzvl´adnoujednotliv´eˇradiˇce.Tes- tovan´ysyst´emse pˇribl´ıˇz´ısv´emu limitu vˇzdy, kdyˇzjak´ykoliv z tˇechto zdroj˚u bude pracovat na sv´emaximum. Bylo by tedy dobr´e, aby metodiky na tes- tov´an´ıIDS braly v potaz poloˇzkyjako velikost pamˇeti,ˇs´ıˇrka p´asmaˇradiˇce pamˇeti,s´ıt’ov´ekarty a ´uloˇzn´ych zaˇr´ızen´ı,zpoˇzdˇen´ıpamˇetia rychlost CPU.

21 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJ´IC´I ZPUSOBY˚ TESTOVAN´ ´I

3.4 Kvantitativnˇemˇeˇriteln´echarakteristiky IDS

V´ysledkykvantitativn´ıch[2] mˇeˇren´ıby ocenilo mnoho potenci´aln´ıch z´akazn´ı- k˚u.Manaˇzer˚umby se takov´ainformace hodila pˇriv´ybˇerunov´ych zaˇr´ızen´ı, nebot’ se v tuto chv´ılimus´ıˇr´ıdit zejm´enamarketingov´ymimateri´alydoda- vatel˚u.Bezpeˇcnostn´ıanalytici by zase naopak ocenili informace t´ykaj´ıc´ıse ´uspˇeˇsnostianal´yzyprovozu. Pod´ıv´amese tedy na seznam moˇzn´ych mˇeˇritel- n´ych charakteristik IDS.

3.4.1 Pokryt´ıhrozeb Pod t´ımto term´ınem si m˚uˇzemepˇredstavit, kolik ´utok˚uje dan´ezaˇr´ızen´ı schopno detekovat a upozornit tak na moˇzn´ehrozby. Syst´emy zaloˇzen´ena porovn´av´an´ıvzor˚ujsou schopny poznat pouze ´utoky, kter´emaj´ıuveden´e v datab´azivzor˚u,a tak´epokud jsou provedeny stejn´ym,ˇcivelmi podobn´ym zp˚usobem. U zaˇr´ızen´ızaloˇzen´ych na detekci anom´ali´ıbude identifikace ´utoku z´avisetna prvotn´ımprovozu, v˚uˇcikter´emu bude porovn´avat aktu´aln´ıdata. Dalˇs´ımprobl´ememje tak´esituace, kdy urˇcit´y´utokohroˇzujeprogram ˇcioperaˇcn´ısyst´empouze v jeho konkr´etn´ıverzi. Bylo by tedy nutn´em´ıt k dispozici vˇsechny takov´e´utoky. A na testovac´ıs´ıtim´ıttak´esyst´emy, na kter´elze tyto ´utokyv´est,aby je IDS mohlo rozpoznat. D´aleje moˇzn´enˇekter´y z ´utok˚uprov´estza pomoci kompromitov´an´ıIDS (IDS evasion techniques). Techniky kompromitace IDS spoˇc´ıvaj´ıv ´uprav´ach ´utok˚uvedouc´ıch k ne- moˇznostidetekce takov´eho´utoku. Utoky´ mohou b´ytrozdˇeleny do 3 odliˇsn´ych skupin[24]: vloˇzen´ı(insertion), vyhnut´ı(evasion) a odm´ıtnut´ısluˇzby, DoS (Denial of Service). C´ılem´utok˚uje zajistit, aby IDS a poˇc´ıtaˇcezpracov´avaly rozd´ıln´adata nebo stejn´adata rozd´ıln´ymzp˚usobem. Utoˇcn´ık´ tak m˚uˇze prov´est´utok, aniˇzby byl detekov´an. Technika prvn´ıhotypu ´utokuspoˇc´ıv´av pouˇzit´ıpaketu, kter´yje akcep- tov´anIDS ale nikoliv koncov´ymzaˇr´ızen´ım.U vyh´yb´an´ıse jedn´ao pˇresn´y opak. Pakety jsou relevantn´ıpouze pro koncov´azaˇr´ızen´ıa IDS nen´ıschopno takov´yprovoz detekovat. DoS ´utokymaj´ıza c´ılzahltit IDS zaˇr´ızen´ımnoha poˇzadavky a vyˇradit ho tak ˇc´asteˇcnˇenebo ´uplnˇez provozu. Pro r˚uzn´elidi je i odliˇsn´ad˚uleˇzitostdetekce urˇcit´ych ´utok˚u.Napˇr´ıklad provozovatele internetov´ehoobchodu bude zaj´ımatdetekov´an´ı(D)DoS, (Dis- tributed) Denial of Service, ´utok˚umaj´ıc´ıch za c´ıl zp˚usoben´ınedostupnosti internetov´ych str´anek.

3.4.2 Pravdˇepodobnost faleˇsn´ych poplach˚u Toto mˇeˇren´ıud´av´apomˇerodm´ıtnut´eholegitimn´ıhoprovozu (False Positive). U s´ıt’ov´ych syst´emu na detekci s´ıt’ov´ych ´utok˚uto m˚uˇzeb´ytzp˚usobeno ne- dostateˇcnˇepˇresn´ymisignaturami (upozornˇen´ıbude vyvol´anokdykoliv pˇri komunikaci na vysok´eporty, kter´ese pouˇz´ıvaj´ıpˇribackdoor ´utoc´ıch) nebo

22 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJ´IC´I ZPUSOBY˚ TESTOVAN´ ´I pˇripouˇzit´ın´astroj˚upro spr´avu s´ıtˇe.Toto mˇeˇren´ıje sloˇzit´e,protoˇzekaˇzd´e IDS m˚uˇze m´ıtjin´ypomˇerfaleˇsn´ych poplach˚uv r˚uzn´ems´ıt’ov´emprostˇred´ı.A neexistuje nic jako bˇeˇzn´a“ s´ıt’. Ani se nepovede m´ıtdatab´azivˇsech moˇzn´ych ” typ˚uprovozu, kter´emohou v s´ıt´ıch v produkˇcn´ımprostˇred´ıvytvoˇritfaleˇsn´y poplach.

3.4.3 Pravdˇepodobnost detekce Tato hodnota ud´av´am´ıru´uspˇeˇsnˇedetekovan´ych ´utok˚uv konkr´etn´ımpros- tˇred´ı.Detekce ´utokuvelmi z´avis´ına sadˇe´utok˚upouˇzit´ych bˇehemtestu. IDS lze tak´enastavit tak, aby detekovalo mnoho ´utok˚uza cenu mnoha faleˇsn´ych poplach˚u,nebo naopak minimalizovat faleˇsn´epoplachy a t´ım ale i sn´ıˇzit pravdˇepodobnost detekce ´utok˚u.A pˇripouˇzit´ıtechniky na kompromitov´an´ı IDS se tato hodnota tak´evelmi zmˇen´ı.

3.4.4 Odolnost proti ´utok˚umveden´ymna IDS T´ımto mˇeˇren´ımuk´aˇzeme,jak odoln´ejsou IDS proti ´utoˇcn´ıkov´ympokus˚um k omezen´ıoperac´ına detekci ´utok˚u.Tento ´utokm˚uˇzem´ıtv´ıceforem:

1. Posl´an´ıvelk´ehomnoˇzstv´ılegitimn´ıho provozu pˇresahuj´ıc´ıhokapacity napaden´ehoIDS za ´uˇcelemzahlcen´ı.IDS potom m˚uˇzezahazovat pa- kety a nebude schopn´edetekovat ´utoky.

2. Posl´an´ılegitimn´ıch paket˚u,kter´ejsou upraveny tak, aby odpov´ıdaly signatur´amuloˇzen´ych v IDS. T´ımto zahlt´ımeosobu, kter´amus´ıkon- trolovat pˇr´ıchoz´ı upozornˇen´ı, a do tohoto provozu vloˇzitopravdov´y ´utok.

3. Posl´an´ıpaket˚u,kter´ezneuˇzij´ıbezpeˇcnost´ıchyby algoritmu pro detekci ´utok˚u.Tento ´utokbude ´uspˇeˇsn´ypouze tehdy, pokud IDS obsahuje zn´amoubezpeˇcnostn´ı chybu, kterou m˚uˇze´utoˇcn´ık zneuˇz´ıt. Naˇstˇest´ı velmi m´aloIDS m´azn´am´ebezpeˇcnostn´ı chyby, jakou je napˇr´ıklad pˇreteˇcen´ız´asobn´ıku. Jedn´ımz m´alaje snort, softwarov´yhostitelsk´ysyst´emna detekci ´utok˚u, jenˇzmˇelve verz´ıch 1.8 (vydan´av ˇcervnu roku 2001) aˇz1.9 bezpeˇcnostn´ı d´ıru v k´odudetekuj´ıc´ım tzv. ´utokfragmentace RPC (Remote Pro- cedure Call), kter´yumoˇzˇnujekompromitaci IDS. Jednalo se o zrani- telnost ve formˇepˇreteˇcen´ız´asobn´ıku[25].

3.4.5 Schopnost zvl´adnut´ıvelk´ehomnoˇzstv´ıprovozu Toto mˇeˇren´ıuk´aˇze,jak velk´emnoˇzstv´ıdat je schopn´eIDS zvl´adnoutzpra- covat a zda-li bude plnˇefunkˇcn´ı.Vˇetˇsinas´ıt’ov´ych IDS zaˇcnezahazovat pa- kety a t´ımvznikne moˇznostprobˇehnut´ı´utokubez povˇsimnut´ı.V dalˇs´ıf´azi

23 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJ´IC´I ZPUSOBY˚ TESTOVAN´ ´I pravdˇepodobnˇepˇrestaneIDS pracovat ´uplnˇe.Je to podobn´emˇeˇren´ıodol- nosti proti DoS ´utok˚um.

3.4.6 Schopnost detekovat nov´e´utoky T´ımto mˇeˇren´ımm˚uˇzemeuk´azat,jak IDS dok´aˇzedetekovat nov´e´utoky, kter´e se pˇredt´ım nevyskytly. Mˇeˇren´ı je uˇziteˇcn´epouze pro syst´emy na detekci na z´akladˇeanom´ali´ı,jelikoˇzv datab´azisignatur tento ´utoknenalezneme. U syst´em˚uzaloˇzen´ych na detekci anom´ali´ı je ovˇsemmnohem vyˇsˇs´ı m´ıra faleˇsn´ych poplach˚u.

3.4.7 Dalˇs´ımˇeˇren´ı Mezi dalˇs´ımˇeˇren´ıbychom mohli zaˇraditnapˇr´ıkladsnadnost instalace, nasta- ven´ıa spr´avyIDS, dostupnost a kvalitu podpory atd. Tato mˇeˇren´ınespadaj´ı do v´ykonnosti IDS, ale v komerˇcn´ımprostˇred´ım by mohla b´ythodnotnou informac´ı.

3.5 Testy IDS

Snahy o testov´an´ıIDS se navz´ajemvelmi liˇs´ıv rozsahu, metodologii i zamˇeˇre- n´ı.Testy syst´em˚uzaloˇzen´ych na detekci anom´ali´ımohou b´ytzaloˇzeny na speci´alnˇenavrˇzen´ych ´utoc´ıch, u syst´em˚una z´akladˇesignatur m˚uˇzeb´ytzkou- ˇsenhlavnˇev´ykon a spr´avn´afunkˇcnostpˇri zat´ıˇzen´ıvelk´ymmnoˇzstv´ımdat. S´ıt’ov´yprovoz byl vytvoˇrenbud’ pouˇzit´ımre´aln´ehoprovozu, kter´yse pˇrepos´ı- lal na s´ıt’ obsahuj´ıc´ıtestovan´ezaˇr´ızen´ı,nebo gener´atoremprovozu. Jelikoˇzani projekt LARIAT[17] (Lincoln Adaptable Real-time Infor- mation Assurance Test-bed) a ani projekt organizace DARPA[18] (Defense Advanced Research Projects Agency) nejsou veˇrejnˇedostupn´e,nejsou k dis- pozici ˇz´adn´estandardn´ı metodiky pro testov´an´ı. K testov´an´ı je vhodn´e pouˇz´ıt kompletn´ıprovoz“[1], a toho je velmi tˇeˇzk´edos´ahnout.Pˇrivytv´aˇren´ı ” umˇel´ehoprovozu se n´amnepodaˇr´ı nasimulovat re´alnous´ıt’, ale zahlcen´ı IDS zaˇr´ızen´ımnoha bezv´yznamn´ymipakety m˚uˇzeuk´azatlimity napˇr´ıklad s´ıt’ov´ekarty nebo operaˇcn´ıhosyst´emu. U vyuˇzit´ıre´aln´ehoprovozu se obje- vuj´ıbezpeˇcnostn´ıprobl´emy – obsahuje emaily, hesla a dalˇs´ıd˚uleˇzit´einfor- mace, kter´eby nemˇelyb´ytveˇrejnˇepˇr´ıstupn´e.Nelze tedy takov´adata pouˇz´ıt napˇr´ıkladve volnˇedostupn´esadˇetest˚u.

V dalˇs´ı ˇc´astit´etokapitoly budou pops´any testy proveden´eMIT Lincoln Laboratory a spoleˇcnost´ıNSS Group[19].

3.5.1 Obecn´ametodika Obecn´ypˇr´ıstup[14]pro testov´an´ıIDS by mohl vypadat nˇejaktakto:

24 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJ´IC´I ZPUSOBY˚ TESTOVAN´ ´I

• Vytvoˇren´ıa v´ybˇerprovozu a testovac´ıch skript˚u(s ´utokynebo bez ´utok˚u).

• Um´ıstˇen´ıIDS do testovac´ıs´ıtˇe.

• Zprovoznˇen´ıIDS a otestov´an´ızaˇr´ızen´ıbez nastaven´ıpravidel.

• Testov´an´ıs r˚uzn´ymnastaven´ımsyst´emu a pravidel.

• Anal´yzav´ystupuIDS a zpracov´an´ıv´ysledk˚u.

3.5.2 MIT Lincoln Laboratory (MIT/LL) Projekt MIT/LL byl sponzorov´anspoleˇcnost´ıDARPA a zamˇeˇrilse na aktu´al- nˇevyv´ıjen´aIDS. Byl proveden v roce 1998 a 1999. Pouˇzit´etestovac´ıprostˇred´ı generovalo provoz o velikosti stovek uˇzivatel˚ua tis´ıc˚upoˇc´ıtaˇc˚ua bylo pro- vedeno v´ıceneˇz200 instanc´ı58 typ˚u´utok˚u.Zamˇeˇren´ıbylo pˇrev´aˇznˇena de- tekov´an´ınov´ych ´utok˚u.Automatick´e´utokybyly provedeny proti tˇremUNI- Xov´ymstroj˚um(SunOS, Solaris, ), poˇc´ıtaˇc˚ums operaˇcn´ımsyst´emem Windows NT a s´ıt’ obsahovala tak´eroutery. Do v´ysledk˚ubyly zahrnuty hod- noty pravdˇepodobnosti detekce ´utok˚ua m´ırafaleˇsn´ych poplach˚una v´ıceneˇz 18 IDS. Utok´ byl povaˇzov´anza detekovan´y,pokud bylo vytvoˇrenoupozornˇen´ıpro poˇc´ıtaˇc,na kter´ybyl ´utoksmˇerovan´y.V´ysledkem bylo zjiˇstˇen´ı,ˇzenejlepˇs´ı zabezpeˇcen´ıs´ıtˇeje z´ısk´ano,pokud jsou pouˇzity jak s´ıt’ov´e,tak hostitelsk´e syst´emy na detekci s´ıt’ov´ych ´utok˚u. Byl vytvoˇrenprovoz, kter´yobsahoval t´ydny norm´aln´ıhos´ıt’ov´ehoprovozu a stovky dokumentovan´ych a popsan´ych ´utok˚u.Tato sada byla napˇr´ıklad pouˇzitaspoleˇcnost´ıAnzen Computing na porovn´an´ı5 komerˇcn´ıch IDS. Po- stupnˇebylo pˇrid´av´anov´ıce´utok˚ua bylo navrhnuto rozˇs´ıˇren´ıo detailnˇejˇs´ı anal´yzuprovozu z d˚uvodu faleˇsn´ych poplach˚ua nedetekovan´ych ´utok˚u.

3.5.3 NSS Group SpoleˇcnostNSS Group prov´adˇelatesty v letech 2000 a 2001. V roce 2001 bylo otestov´ano15 komerˇcn´ıch IDS a snort. V´ysledkyt´etozpr´avyobsahuj´ı detailn´ıinformace na kaˇzd´etestovan´eIDS – jeho architekturu a snadnost instalace a konfigurace. Utoky´ byly provedeny pomoc´ısady s bud’ 18 nebo 66 bˇeˇznˇedostupn´ymibezpeˇcnostn´ımizranitelnostmi vˇcetnˇeskenov´an´ıport˚u, (D)DoS ´utok˚u,trojsk´ych kon´ı, ´utok˚una webov´estr´anky, protokoly FTP, SMTP, POP3 a ICMP. Utoky´ byly povaˇzov´any za detekovan´epouze pokud byly nahl´aˇseny v co nejpˇresnˇejˇs´ıvariantˇe.Detekce ´utok˚ubyla mˇeˇrenana 100 Mbit s´ıtibez provozu (testuje se pouze za pomoci generovan´ych ´utok˚u), s mal´ymi(64 bajt˚u),pr˚umˇern´ymi(cca. 550 bajt˚u)a velk´ymi(1514 bajt˚u) pakety, kter´ymibyla ˇs´ıˇrka p´asmas´ıtˇezat´ıˇzenana 0 %, 25 %, 50 %, 75 % a 100 %. Nav´ıcpro nˇekolik ´utok˚ubyla pouˇzitatechnika kompromitace IDS

25 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJ´IC´I ZPUSOBY˚ TESTOVAN´ ´I pomoc´ın´astroje whisker“[20]. Byly tak´epouˇzity n´astroje stick“ a snot“ ” ” ” na generov´an´ıpaket˚uzp˚usobuj´ıc´ıch faleˇsn´epoplachy. Tyto dva n´astroje jiˇz nejsou v souˇcasn´edobˇedostupn´e. Bez provozu byla pravdˇepodobnost detekce ´utok˚unad 80 % u vˇsech zaˇr´ızen´ıs v´yjimkou dvou. Se zat´ıˇzen´ıms´ıtˇetyto hodnoty pro nˇekter´esyst´emy rapidnˇeklesaly. Vˇetˇsinasyst´em˚ubyla odoln´aproti technik´amkompromitace IDS a tak´enereagovaly na pakety, kter´emˇelyvyvolat faleˇsn´epoplachy.

3.6 Probl´emy pˇritestov´an´ı

3.6.1 Probl´emsbˇeru´utok˚ua softwaru Jedn´ımz probl´em˚uv t´etooblasti je sbˇermoˇzn´ych ´utok˚ua tak´eprogram˚u,na nˇeˇzjsou tyto ´utokym´ıˇreny. I kdyˇzje vˇetˇsinatˇechto skript˚udostupn´ana in- ternetu, nalezen´ıa vytvoˇren´ıtakov´esady je ˇcasovˇevelmi n´aroˇcn´e.U kaˇzd´eho je nutn´ezjistit jak se chov´a,jak´ezanech´av´astopy v syst´emu a zautomatizo- vat jej. V jiˇzexistuj´ıc´ıch sad´ach test˚uje probl´ememjejich zamˇeˇren´ı,nˇekter´e jsou zamˇeˇren´esp´ıˇsena skenovan´ı,jin´enaopak na odcizen´ıdat.

3.6.2 Rozd´ıln´epoˇzadavky na testov´an´ır˚uzn´ych typ˚uIDS Je t´emˇeˇrnemoˇzn´epouˇz´ıtstejn´etesty jak na IDS na z´akladˇepouˇzit´ısig- natur, tak i na IDS zaloˇzen´ena detekci anom´ali´ıv provozu. IDS zaloˇzen´e na odchylk´ach v provozu potˇrebuj´ıke sv´emu fungov´an´ıkratˇs´ıˇcidelˇs´ıdobu na nauˇcen´ınorm´aln´ıhoprovozu. Pokud ovˇsemtento provoz bude obsaho- vat jiˇznˇejak´y´utok,nebude pozdˇejirozpozn´an.Mohou se t´eˇznauˇcittˇeˇzko odhadnuteln´evlastnosti provozu, jako je velikost okna paketu, porty, TCP pˇr´ıznakynebo d´elkyspojen´ı.To vede k velmi dobr´ym v´ysledk˚umpˇripouˇzit´ı v testovac´ımprostˇred´ı. Testov´an´ıIDS na z´akladˇesignatur pˇredstavuje tak´ejist´eprobl´emy. Kaˇzd´y z tˇechto syst´em˚uje schopen detekovat pouze nˇekter´e´utoky – respektive ´utoky, kter´ezn´a.To znamen´a,ˇzepouˇzit´asada test˚ubude ve velk´em´ıˇre reflektovat dosaˇzen´ev´ysledky. Tak´ese m˚uˇzest´at,ˇzetest bude zamˇeˇrenna jist´ytyp ´utok˚ua nˇekter´eIDS tak budou diskriminov´any. V menˇs´ım´ıˇreto ale plat´ıi u IDS zaloˇzen´ych na detekci anom´ali´ı, kter´enenaleznou ´utoky v datech, kter´azrovna nekontroluj´ı. Stejnˇetak nelze pouˇz´ıttotoˇzn´esady test˚ujak pro s´ıt’ov´e,tak pro hos- titelsk´eIDS. S´ıt’ov´eIDS lze testovat i v offline reˇzimu za pomoc´ıvytvoˇren´ı souboru obsahuj´ıc´ıhoprovoz a ten pak lze opakovanˇepˇrehr´avat. V´yhodou to- hoto zp˚usobuje moˇznosttestovat jednotliv´azaˇr´ızen´ısamostatnˇea je vcelku jednoduch´edos´ahnoutopakovatelnosti testu. Hostitelsk´eIDS pouˇz´ıvaj´ımno- ho r˚uzn´ych vstup˚usyst´emu, aby byly schopn´edetekovat, jestli syst´emˇcel´ı ´utokunebo nikoliv. Tyto syst´emy jsou nastaven´etak, aby monitorovaly hos- titele a ne pouze s´ıt’ov´yprovoz. To ˇcin´ıv´ıcen´asobn´eopakov´an´ıstejn´ehotestu

26 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJ´IC´I ZPUSOBY˚ TESTOVAN´ ´I mnohem sloˇzitˇejˇs´ım.Je tedy tˇeˇzk´ezajistit rovnocenn´etestov´an´ır˚uzn´ych IDS a opakovatelnost takov´ych test˚u.

3.6.3 Typ provozu pouˇzit´yv testech Vˇetˇsinu test˚ulze zaˇradit do jedn´eze ˇctyˇrkategori´ıtyp˚uprovozu, kter´yje v testu pouˇzit.Jedn´ase o testov´an´ıbez provozu, pouˇzit´ıre´aln´ehoprovozu, pouˇzit´ıvyˇciˇstˇen´ehoprovozu a pouˇzit´ıumˇelevygenerovan´ehoprovozu. Kaˇzd´y zp˚usobm´asv´ev´yhody a nev´yhody a nelze jednoznaˇcnˇeˇr´ıci,kterou variantu zvolit. 1. Testov´an´ıbez provozu Nˇekter´etesty IDS nepouˇz´ıvaly ˇz´adn´yprovoz na pozad´ı. Testovan´e zaˇr´ızen´ıje zapojeno do uzavˇren´es´ıtˇe,na kter´eneprob´ıh´aˇz´adn´aak- tivita a pˇritestu jsou generov´any ´utoky za ´uˇcelemzjiˇstˇen´ıschopnosti detekce ´utokutestovan´ymzaˇr´ızen´ım.Zjist´ımetak ´uspˇeˇsnostdetekce, ale v´ysledekn´amneprozrad´ınic ohlednˇefaleˇsn´ych poplach˚u. Tento typ testu je vhodn´ynapˇr´ıkladpro ovˇeˇren´ı,ˇzedan´eIDS obsahuje seznam vzor˚upro generovan´e´utokya je schopno je spr´avnˇeoznaˇcit. Tyto testy jsou tak´emnohem m´enˇen´aroˇcn´e,jelikoˇznen´ıpotˇrebaˇz´adn´y provoz. Nev´yhodou je ovˇsemto, ˇzeschopnost detekov´an´ınebere v po- taz ˇz´adn´yprovoz na pozad´ıa jak je uvedeno napˇr´ıkladv testu NSS Group, s nar˚ustaj´ıc´ımprovozem tato schopnost m˚uˇzev´yraznˇekles- nout. 2. Pouˇzit´ıre´aln´eho provozu Tyto testy jsou prov´adˇeny pˇrid´an´ımprovozu obsahuj´ıc´ıho ´utokydo provozu, kter´ybyl nachyt´anna skuteˇcn´es´ıti.Lze tak velmi dobˇreod- stupˇnovat schopnost detekce ´utok˚upˇri r˚uzn´evelikosti provozu beˇz´ıc´ıho na pozad´ı. I tento zp˚usobm´aale sv´a´uskal´ı.Vˇetˇsinounen´ımoˇzn´euchov´avat velk´e mnoˇzstv´ıdat z d˚uvodu bezpeˇcnostia obsahu tˇechto dat, napˇr´ıkladpo- kud poch´az´ız p´ateˇrn´ıch s´ıt´ı.D´ıkytomu nelze ani dost dobˇretakov´y provoz pouˇz´ıvat veˇrejnˇea tvoˇritz nˇejsadu test˚upro komerˇcn´ıpouˇzit´ı. Pˇripotˇrebˇepˇrehr´an´ıvelk´ehomnoˇzstv´ıprovozu m˚uˇzeb´ytnutn´apa- ralelizace tohoto procesu. Pˇr´ıtomnostr˚uzn´ych anom´ali´ıv nachytan´em provozu m˚uˇzezv´yhodnit nˇekter´ytyp IDS, hlavnˇesyst´emy zaloˇzen´e na detekci pomoc´ı anom´ali´ı. Naopak pokud nˇekter´aIDS zkoumaj´ı detailnˇejijeden typ protokolu, nemus´ıpotom zaregistrovat jin´etypy ´utok˚u. Obsah r˚uzn´ych anom´ali´ıv nachytan´emprovozu vede tak´eke znehodno- cen´ıparametru faleˇsn´ych poplach˚u,protoˇzenejsp´ıˇsenebudeme schopni naj´ıtv tomto provozu vˇsechny ´utokya bude potˇrebahodnotu faleˇsn´ych poplach˚unˇejakaproximovat.

27 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJ´IC´I ZPUSOBY˚ TESTOVAN´ ´I

3. Pouˇzit´ıvyˇciˇstˇen´ehoprovozu Abychom se vyhnuli pˇredchoz´ımu probl´emu s veˇrejn´ympublikov´an´ım nachytan´ehoprovozu, m´amemoˇznosttento provoz vyˇcistit.Nachytan´a data jsou tak pozmˇenˇenaa k nim jsou ´utokybud’ pˇrim´ıch´any pˇredem, nebo dod´any soubˇeˇzn´ymspouˇstˇen´ıms vyˇciˇstˇen´ymprovozem. V´yhodou je moˇznostvoln´edistribuce takov´esady provozu, ale pˇriˇciˇstˇen´ıdat toho m˚uˇzemevyˇcistitaˇzpˇr´ıliˇsa t´ımp´ademse z re´aln´ehoprostˇred´ı stane prostˇred´ınere´aln´e.M˚uˇzese ale i st´at,ˇzeve vyˇciˇstˇen´emprovozu pˇrecijen z˚ustanounˇejak´acitliv´adata, kter´anebyla identifikov´ana. D´ıkytomuto riziku nebude toto ˇreˇsen´ınejsp´ıˇsemoc pouˇz´ıv´ano.Stejnˇe tak nebudou generovan´e´utokys tˇemitodaty nijak sv´az´any, jelikoˇz nejsou ´uplnˇere´aln´a,jak by mˇelab´yt.

4. Pouˇzit´ıumˇele vygenerovan´ehoprovozu Pˇritomto testu je pouˇzitnˇekter´yz gener´ator˚uprovozu, jako napˇr´ıklad hardwarov´ySmartBits[21] gener´ator.Lze takto generovat r˚uznˇevelk´e pakety velkou rychlost´ı,tyto uloˇzita bez probl´emu pˇrehr´avat a veˇrejnˇe publikovat. Dalˇs´ıv´yhodou je garance nepˇr´ıtomnosti´utok˚u,o kter´ych nev´ıme.Tyto gener´atory, jak bylo jiˇzzm´ınˇeno,byly vˇetˇsinouuzp˚usobe- ny k testov´an´ırouter˚ua neobsahuj´ıtedy nˇekter´ed˚uleˇzit´eprvky potˇreb- n´epro testov´an´ıIDS.

3.7 Navrhovan´yzp˚usobtest˚u

Na z´akladˇepoznatk˚uz jiˇzproveden´ych test˚ua jednotliv´ych probl´em˚uu roz- d´ıln´ych pˇr´ıstup˚uk testov´an´ıbude v t´etopr´aciprob´ıhat testov´an´ıIDS za po- moc´ıre´aln´ehoprovozu. Testy s t´ımto provozem d´avaj´ılepˇs´ıinformace pro pˇr´ıpadn´ez´akazn´ıkya testov´an´ıv r´amcit´etopr´aceje zamˇeˇrenona komerˇcn´ı s´ıt’ov´ezaˇr´ızen´ı,tedy v´ysledkyby mˇelypomoci pˇriv´ybˇerukonkr´etn´ıhopro- duktu. Probl´emy s nemoˇznost´ıpublikace nachytan´ehoprovozu nen´ızat´ımnutn´e ˇreˇsita testy budou prov´adˇeny na stejn´es´ıti, na kter´ebude tento provoz nachyt´an. Z´adn´erizikoˇ nav´ıcz hlediska ´unikucitliv´ych informac´ıtedy ne- vznik´a.

Do v´ystupn´ıch parametr˚utest˚ubudou zahrnuty n´asleduj´ıc´ıparametry:

• propustnost,

• poˇcetsouˇcasn´ych spojen´ı,

• jitter.

28 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJ´IC´I ZPUSOBY˚ TESTOVAN´ ´I

Budou testov´any s provozem obsahuj´ıc´ımr˚uznˇevelk´epakety a tak´ev r˚uzn´ych reˇzimech testovan´ehozaˇr´ızen´ı:

• paketov´yfiltr bez pravidel,

• paketov´yfiltr,

• proxy s antivirovou kontrolou,

• reˇzimIDS.

29 Kapitola 4

Software pro testov´an´ı

V t´etokapitole je shrnut software, kter´yby se dal vyuˇz´ıt pro testov´an´ı propustnosti a v´ykonnosti IDS. Vˇsechen software je volnˇedostupn´y,spoleˇcnˇe se struˇcn´ympopisem jsou uvedeny i moˇznostivyuˇzit´ı pro konkr´etn´ı typ testu. Nejd˚uleˇzitˇejˇs´ıˇc´ast´ı test˚uje m´ıt k dispozici s´ıt’ov´yprovoz, kter´ybude pouˇzitpro zat´ıˇzen´ıs´ıtˇe.Na z´akladˇev´yˇseuveden´ych poznatk˚ujsou k dispo- zici dvˇemoˇznosti.Bud’ si provoz vygenerujeme a nebo odchytneme re´aln´y provoz, uloˇz´ımejej a pot´epˇrehrajeme.

4.1 Nachyt´an´ıre´aln´ehoprovozu

Abychom mohli nachytat re´aln´yprovoz na s´ıtia uloˇzitjej, m˚uˇzemevyuˇz´ıt dva programy. Jsou to wireshark[26] a tcpdump[27]. Jak wireshark, tak tcpdump funguje pro OS Windows i Linux (tcpdump pro Windows b´yv´aoznaˇcov´ann´azvem windump). Oba programy odchyt´avaj´ı v re´aln´emˇcaseprovoz na s´ıti,do kter´eje pˇripojen poˇc´ıtaˇcs t´ımto progra- mem. Ovl´ad´an´ıtˇechto program˚uje intuitivn´ı,nachytan´adata se ukl´adaj´ı ve form´atupcap[28]. Oba programy jdou tak´e pouˇz´ıt pro zobrazen´ı jiˇz uloˇzen´ych pcap soubor˚ua jejich ´upravu napˇr´ıkladpomoc´ısluˇcov´an´ıa fil- trov´an´ıurˇcit´ych typ˚upaket˚u.

4.1.1 Wireshark Wireshark je asi nejzn´amˇejˇs´ıprogram pouˇz´ıvan´ypro anal´yzus´ıt’ov´ehopro- vozu. Je povaˇzov´anza standard mezi mnoha spoleˇcnostmia vzdˇel´avac´ımi institucemi. Wireshark je volnˇedostupn´ya pr´aces t´ımto programem je pops´anav dalˇs´ıch kapitol´ach.

30 KAPITOLA 4. SOFTWARE PRO TESTOVAN´ ´I

C´ıl.port Poˇcettok˚u Poˇcetpaket˚u Velikost v MB 53 4 000 000 (50 %) 48 000 000 (27,5 %) 460,8 80 2 000 000 (25 %) 100 200 000 (57,5 %) 18 700 (12 %) 443 455 619 (5,5 %) 11 700 000 (6,7 %) 6 700 (4,5 %) 123 379 030 (4,6 %) 1 000 000 79,5 88 326 296 330 535 62,9

Tabulka 4.1: Provoz seˇrazen´ypodle c´ılov´ehoportu.

Protokol Poˇcettok˚u Poˇcetpaket˚u Velikost v MB UDP 14 600 000 (71 %) 72 300 000 (13 %) 41 500 (9 %) TCP 5 900 000 (28 %) 450 300 000 (86 %) 405 700 (90 %) ICMP 95 658 (0,5 %) 405 154 39,8 IPv6 7 122 512 665 218,7 ICMP6 1 772 2 774 0,27

Tabulka 4.2: Provoz seˇrazen´ypodle protokolu.

4.2 Generov´an´ıprovozu

Pro softwarov´egenerov´an´ıprovozu se hod´ıprogram mausezahn[29]. V pˇr´ıpa- dˇepouˇzit´ıtohoto programu a generov´an´ıprovozu m´amev z´asadˇedvˇemoˇz- nosti. Bud’ budeme generovat provoz pˇr´ımo pˇripr˚ubˇehu testov´an´ı, nebo si nejdˇr´ıve vygenerovan´yprovoz odchytneme, uloˇz´ıme a pak pˇrehrajeme. U prvn´ımoˇznostin´amstaˇc´ınainstalovat mausezahn na jeden ˇciv´ıcepoˇc´ıtaˇc˚u, ze kter´ych budeme generovat provoz a kter´ybude smˇerov´anpˇrestestovan´e zaˇr´ızen´ı.Provoz generovan´yprogramem mausezahn lze na tomt´eˇzpoˇc´ıtaˇci odchyt´avat napˇr´ıkladpomoc´ı wiresharku a ukl´adat. Pˇri generov´an´ı provozu a zajiˇstˇen´ı co nejvˇetˇs´ı podobnosti s re´aln´ym provozem by byla vyuˇzitastatistika provozu zachycen´ehona Masarykovˇe Univerzitˇe.Dvˇetabulky v´yˇsezobrazuj´ı statistiku provozu zachycenou na pˇr´ıpojn´embodˇeMasarykovy univerzity ze 4. dubna 2010 v dobˇeod 11:00 do 12:00 hod. V tabulce 4.1 jsou data seˇrazenapodle c´ılov´ehoportu, v ta- bulce 4.2 podle protokolu.

Z c´ılov´ych port˚ujsou nejv´ıcezastoupeny porty 53 (DNS), 80 (HTTP), 443 (HTTPS), 123 (NTP) a 88 (Kerberos), u protokol˚use jedn´ahlavˇeo UDP, TCP, ICMP, IPv6 a ICMP6.

31 KAPITOLA 4. SOFTWARE PRO TESTOVAN´ ´I

4.2.1 Mausezahn Mausezahn je volnˇedostupn´yrychl´ygener´atorprovozu napsan´yv pro- gramovac´ımjazyce C. Umoˇzˇnuje automatick´epos´ıl´an´ımnoha typ˚upaket˚u na n´ahodn´eIP a MAC adresy. Je zde tak´emoˇznostnastaven´ıopakov´an´ı, pˇr´ıpadnˇenekoneˇcn´esmyˇcky. Je moˇzn´eautomaticky generovat pakety pro protokoly ARP, BPDU, IP a ˇc´asteˇcnˇei ICMP, UDP a TCP. Lze i nastavit opoˇzdˇen´egenerov´an´ınebo nastavit vlastn´ıIP a MAC adresy vytv´aˇren´ych paket˚u. Na druh´es´ıt’ov´evrstvˇedovoluje poslat jak´ykoliv ˇretˇezecbajt˚upˇr´ımo skrze Ethernetov´erozhran´ıa pomoc´ıARP protokolu je schopen vytvoˇrit DNS cache poisoning ´utok.DNS cache poisoning ´utokspoˇc´ıv´av napaden´ı DNS serveru a vnucen´ıvlastn´ıch z´aznam˚u,kter´emohou b´ytpot´ezneuˇzity k pˇresmˇerov´an´ına podvodn´einternetov´estr´anky, aniˇzby uˇzivatel byl scho- pen na prvn´ıpohled poznat, ˇzenen´ınˇecov poˇr´adku.

Na vyˇsˇs´ıch s´ıt’ov´ych vrstv´ach ovl´ad´a mausezahn tyto protokoly:

• IP: umoˇzˇnujegenerovat nekorektn´ıpakety s n´ahodnou IP adresou.

• UDP: nastaven´ızdrojov´e/c´ılov´eadresy, souˇcasn´epos´ıl´an´ına v´ıceport˚u.

• ICMP: moˇznostgenerov´an´ıICMP Redirect (pˇresmˇerov´an´ıpaket˚una jinou s´ıt’ovou trasu).

• TCP: stejn´ejako UDP, generace SYN flood ´utoku(zahlcen´ıserveru velk´ymmnoˇzstv´ımpaket˚uˇz´adaj´ıc´ımo vytvoˇren´ıTCP spojen´ı,kter´e je ponech´anov polootevˇren´emstavu).

• DNS: dotazy nebo odpovˇedi.

Program mausezahn um´ıtak´emˇeˇritzpoˇzdˇen´ına s´ıtina dan´etrase a dovoluje pr˚ubˇeˇzn´emˇeˇren´ı a tedy monitorov´an´ı zpoˇzdˇen´ı v z´avislostina zmˇen´ach provozu na s´ıti.Mˇeˇren´ızpoˇzdˇen´ıje zaloˇzenona pos´ıl´an´ıRTP (Real Time Protocol) paket˚ua je moˇzn´ejak jednosmˇernˇe,tak i obousmˇernˇe.U jed- nosmˇern´ehomˇeˇren´ıpostaˇc´ızadat IP adresu koncov´ehobodu, kter´ybude od- chyt´avat RTP pakety. V pˇr´ıpadˇeobousmˇern´ehomˇeˇren´ızpoˇzdˇen´ı mausezahn vyˇzadujevz´ajemnouidentifikaci koncov´ych bod˚u.Grafick´yv´ystupobou typ˚u mˇeˇren´ıje totoˇzn´ya lze vidˇetna obr´azkuˇc´ıslo4.1.

4.2.2 Iperf Dalˇs´ımn´astrojem je iperf [30]. Jedn´ase o testovac´ıaplikaci, kter´aum´ıvytv´a- ˇretTCP a UDP datov´eproudy a mˇeˇritpropustnost s´ıtˇe.Umoˇzˇnujenastavit mnoho r˚uzn´ych parametr˚u.Skl´ad´ase z klientsk´ea serverov´eˇc´astia je moˇzn´e

32 KAPITOLA 4. SOFTWARE PRO TESTOVAN´ ´I

Obr´azek4.1: Jitter. mˇeˇritpropustnost mezi dvˇemabody jak jednosmˇernˇe,tak i obousmˇernˇe(coˇz m˚uˇzeb´ytd˚uleˇzit´ev pˇr´ıpadˇeasymetrick´ych linek ˇcispeci´aln´ıch nastaven´ı QoS, tedy kvality sluˇzeb).

4.3 Poˇcetsouˇcasn´ych spojen´ı

Maxim´aln´ıpoˇcetsouˇcasn´ych spojen´ıje moˇzn´etestovat pomoc´ıgenerov´an´ı poˇzadavk˚uaplikac´ı apache benchmarking tool (ab)[31]. Ab slouˇz´ık testov´an´ı odezvy webov´ych server˚u.V´ysledkem je tedy hodnota, kolik souˇcasn´ych spo- jen´ıje server schopen zvl´adnout.Lze takto vytv´aˇretmnoho spojen´ıa sle- dovat, zda je testovan´ezaˇr´ızen´ıschopno tato spojen´ıjeˇstˇeodbavovat, nebo jiˇzne. Problematick´ymm´ıstemtestu by mohla b´ytdostupnost dostateˇcnˇe v´ykonn´ehowebov´ehoserveru, kter´yzvl´adnereagovat na tak velk´emnoˇzstv´ı poˇzadavk˚u.

4.4 Utoky´

Pokud bychom chtˇeli mˇeˇrit´uspˇeˇsnostdetekce ´utok˚u,lze vyuˇz´ıt program nessus[32] a prostˇred´ı Metasploit[33]. Pro tvorbu nˇekter´ych typ˚u´utok˚u (DoS, TCP SYN flood) lze vyuˇz´ıtjiˇzzm´ınˇen´yprogram mausezahn.

4.4.1 Nessus Nessus je volnˇedostupn´ypro nekomerˇcn´ıpouˇzit´ı.Jedn´ase o s´ıt’ov´yske- ner, kter´yprozkoum´ajednotliv´epoˇc´ıtaˇcena s´ıti.Hled´a,kter´es´ıt’ov´esluˇzby jsou dostupn´e,a s obs´ahloudatab´az´ız´asuvn´ych modul˚u,kter´epˇredstavuj´ı

33 KAPITOLA 4. SOFTWARE PRO TESTOVAN´ ´I jednotliv´ekontroln´ıtesty, ovˇeˇruje,jsou-li tyto sluˇzby bezpeˇcnˇenaprogramo- van´eˇcinakonfigurovan´e.Kromˇejednor´azov´ych test˚ulze testy spouˇstˇettak´e v pravideln´ych intervalech a z´ıskat tak pˇrehledo zmˇen´ach sluˇzebbˇeˇz´ıc´ıch na testovan´ych zaˇr´ızen´ıch.

4.4.2 Metasploit Syst´emMetasploit se pouˇz´ıv´apro penetraˇcn´ıtestov´an´ıa testov´an´ıodolnosti proti zn´am´ymbezpeˇcnostn´ımchyb´am.Obsahuje pˇredprogramovan´eexploity – bezpeˇcnostn´ı chyby v operaˇcn´ım syst´emu – kter´elze vyuˇz´ıt k pˇrevzet´ı kontroly napaden´ehooperaˇcn´ıhosyst´emu. Na poˇc´atkuMetasploit fungoval jako datab´azepublikovan´ych chyb a bezpeˇcnostn´ıch dˇer.V dneˇsn´ıdobˇese jedn´ao dobˇrepopsan´e,aktualizovan´e a plnohodnotn´erozhran´ı s uˇziteˇcn´ymitechnikami, kter´emohou vyuˇz´ıvat v´yvoj´aˇrii bezpeˇcnostn´ıanalytici.

4.5 Uprava´ a pˇrehr´an´ıprovozu

K pˇrehr´av´an´ıprovozu, at’ jiˇznachytan´ehonebo vygenerovan´eho,bude pouˇzit n´astroj tcpreplay[22]. K ´upravˇenachytan´ehoprovozu budou pouˇzity aplikace tcpprep a tcprewrite, kter´ejsou souˇc´ast´ıinstalaˇcn´ıhobal´ıˇcku tcpreplay. Upra-´ va nachytan´ehoprovozu je nutn´akv˚ulipˇr´ıtomnostiswitch˚ua router˚una s´ıti,kde budou prob´ıhattesty IDS. Aktivn´ıprvky jsou kv˚ulibezpeˇcnosti nastaveny tak, aby zahazovaly nekorektn´ıprovoz a ten je potˇrebaodstranit. Konkr´etn´ıpostup je pops´anv n´asleduj´ıc´ıkapitole.

4.6 Kernun GUI

Informace o jednotliv´ych komponent´ach zaˇr´ızen´ıKernun lze z´ıskat pomoc´ı softwaru Kernun GUI [34], kter´yse pˇripoj´ık IDS Kernun pomoc´ıSSH[35]. K pˇrihl´aˇsen´ıje potˇrebam´ıtSSH kl´ıˇc,jehoˇzveˇrejn´aˇc´astse nach´az´ına IDS Kernun. Pomoc´ıpriv´atn´ıˇc´astikl´ıˇce, kter´amus´ıb´ytve form´atupouˇziteln´em pomoc´ı aplikace putty[36], se lze pˇripojit k zaˇr´ızen´ı. Tyto kl´ıˇceje moˇzn´e vygenerovat pomoc´ın´astroje puttygen[37].

Po instalaci a spuˇstˇen´ıprogramu se objev´ıokno vyobrazen´ena obr´azkuˇc´ıslo 4.2. Vybereme moˇznost Connect to server“ a otevˇrese n´amokno, kter´eje ” vidˇetna obr´azkuˇc´ıslo4.3.

Po vyplnˇen´ınezbytn´ych ´udaj˚ua jejich potvrzen´ıse jiˇzotevˇreokno, v nˇemˇz jsou zobrazeny informace o jednotliv´ych komponent´ach zaˇr´ızen´ıKernun. Na obr´azkuˇc´ıslo4.4 je v lev´emmenu vybr´anoextern´ıs´ıt’ov´erozhran´ıa v prav´e ˇc´astiokna jsou vidˇet grafy zobrazuj´ıc´ıvyt´ıˇzenosttohoto rozhran´ı.Jsou zde

34 KAPITOLA 4. SOFTWARE PRO TESTOVAN´ ´I

Obr´azek4.2: Kernun GUI.

Obr´azek4.3: Kernun GUI. uvedeny poˇcty bit˚ua paketu za sekundu a jejich maxim´aln´ıhodnota za dan´e obdob´ı.Jako ˇcasov´y´usekje vybr´anajedna hodina.

35 KAPITOLA 4. SOFTWARE PRO TESTOVAN´ ´I

Obr´azek4.4: Kernun GUI.

36 Kapitola 5

Potˇrebn´adata pro vybran´e testy

Prvn´ıtest probˇehlpomoc´ıaplikace wget[38]. Jednalo se o st´ahnut´ıjednoho souboru a sledov´an´ı,jak se zmˇen´ız´atˇeˇzna s´ıtia jestli se nˇejak´ymzp˚usobem prom´ıtnedo graf˚u,kter´ejsou v aplikaci Kernun GUI k dispozici. T´ımto byla tak´eovˇeˇrenafunkˇcnostpˇripojen´ıaplikace k zaˇr´ızen´ıIDS Kernun. D´alebylo vyuˇzitov´ymˇeny poˇc´ıtaˇc˚una Celouniverzitn´ı poˇc´ıtaˇcov´estudovnˇeMU[39] za nov´ea pozorov´an´ıprovozu na s´ıtipˇribezobsluˇzn´einstalaci operaˇcn´ıho syst´emu a softwaru. Jako posledn´ıbyl proveden test s nachytan´ymia upra- ven´ymidaty pos´ılan´ymido s´ıtˇepomoc´ıprogramu tcpreplay.

5.1 Test stahov´an´ı– potˇrebn´adata

K tomuto testu nebyla potˇrebaˇz´adn´aspeci´aln´ıdata. Soubor, kter´yje sta- hov´an,je uloˇzenna serveru ftp.linux.cz um´ıstˇen´emv s´ıti Masarykovy univerzity a disponuje gigabitov´ympˇripojen´ım.Vybr´anbyl soubor o veli- kosti 2,5 GB, jedn´ase o tzv. live dvd linuxov´edistribuce syst´emu Gentoo. Z live dvd, nebo cd, lze spustit operaˇcn´ısyst´emaniˇzby byl nainstalov´anna poˇc´ıtaˇci.

5.2 Test instalace – potˇrebn´adata

Pro tento test tak´enebyla potˇrebaˇz´adn´a´uprava dat. S´ıt’ov´ainstalace operaˇc- n´ıhosyst´emu a program˚uprob´ıhalapomoc´ın´astroje OPSI [40]. Takto lze vzd´alenˇeinstalovat poˇc´ıtaˇce,kter´ejsou vybaveny s´ıt’ovou kartou s reˇzimem PXE (Preboot Execution Environment). Detailnˇejˇs´ıpopis testu je uveden v n´asleduj´ıc´ıkapitole.

37 KAPITOLA 5. POTREBNˇ A´ DATA PRO VYBRANE´ TESTY

5.3 Test pos´ıl´an´ıdat – potˇrebn´adata

Pro tento test byla pouˇzitare´aln´adata z provozu na s´ıti. Pomoc´ıprogramu wireshark, kter´ybyl nainstalov´anna jednom z poˇc´ıtaˇc˚uv Celouniverzitn´ı poˇc´ıtaˇcov´estudovnˇeMU, byl odchycen provoz na lok´aln´ıs´ıtia pot´euloˇzen do souboru ve form´atupcap. Pro bezprobl´emov´eopakovan´eposl´an´ıtˇechto dat je nutn´ajejich dalˇs´ı´uprava.

5.3.1 Uprava´ uloˇzen´ych dat Pˇri ´upravˇedat se jedn´ao odstranˇen´ı typu provozu, kter´yby mohl pˇri opˇetovn´emodesl´an´ızp˚usobovat probl´emy na s´ıti,a tak´eo zmˇenu v´ychoz´ıch a c´ılov´ych IP a MAC adres. Routery, kter´ejsou na s´ıt’ov´ecestˇemezi odes´ılaj´ı- c´ımpoˇc´ıtaˇcema testovan´emzaˇr´ızen´ı,maj´ınastaveny bezpeˇcnostn´ıpolitiky tak, aby na jeden pˇripojen´yport mohly pˇrich´azetpouze pakety s jednou IP a MAC adresou. Nelze tedy odeslat provoz v takov´emstavu, v jak´emho m´ameuloˇzen´y. Prvn´ımkrokem v ´upravˇenachytan´ehoprovozu bude odstranˇen´ıpaket˚u protokolu DHCP (Dynamic Host Configuration Protocol) a STP (). DHCP slouˇz´ık pˇridˇelov´an´ıIP adres poˇc´ıtaˇc˚um,kter´emaj´ı v konfiguraci s´ıt’ov´ehorozhran´ıvybr´anu moˇznostautomatick´ehopˇridˇelov´an´ı IP adresy. DHCP poˇzadavky odstran´ımev programu wireshark pomoc´ıfiltru not ” bootp“ (BOOTP je pˇredch˚udceprotokolu DHCP a pod t´ımto n´azvem je uve- den ve wiresharku). Filtr not bootp“ odstran´ıvˇsechny pakety s protokolem ” DHCP a ve v´ybˇerunejsou jiˇztyto pakety uvedeny. STP pakety slouˇz´ıpro komunikaci mezi aktivn´ımiprvky s´ıtˇe,switchi. Bezpeˇcnostn´ıpolitika na switch´ıch m˚uˇzezakazovat generov´an´ıtakov´ych dat bˇeˇzn´ymipoˇc´ıtaˇcia m˚uˇzev´estk zablokov´an´ı dalˇs´ı komunikace poˇc´ıtaˇce, protoˇzemohou b´ytzneuˇzitak ´utokuna Spanning Tree Protocol. Tyto pakety odstran´ımepouˇzit´ımfiltru not stp“. ” Ve v´ybˇerun´amtak z˚ustanoupakety neobsahuj´ıc´ıprovoz typu DHCP a STP. Pomoc´ımoˇznosti Uloˇzitjako“ a vybr´an´ımpouze zobrazen´ych pa- ” ket˚utento v´ybˇeruloˇz´ıme.D´alebude potˇrebazmˇenit zdrojov´ea c´ılov´eIP a MAC adresy v hlaviˇck´ach paket˚upomoc´ıprogram˚u tcpprep a tcprewrite zp˚usobem popsan´ymd´alev textu. Zmˇenaje nutn´az d˚uvodu bezpeˇcnostn´ıch politik aktivn´ıch prvk˚us´ıtˇe,kter´emohou b´ytnastaveny na blokov´an´ıport˚u pˇrij´ımaj´ıc´ıch data s r˚uzn´ymizdrojov´ymiadresami. Zmˇenac´ılov´ych adres zajist´ıpˇrenosdat skrze testovan´ezaˇr´ızen´ı. Protoˇzeprostˇred´ıCelouniverzitn´ıpoˇc´ıtaˇcov´estudovny MU je zaloˇzeno na operaˇcn´ımsyst´emu Microsoft Windows XP Professional a programy tcp- prep, tcprewrite a tcpreplay nejsou pod Windows nativnˇe podporov´any, byl pouˇzitn´astroj cygwin[41] umoˇzˇnuj´ıc´ıprovozov´an´ılinuxov´ych program˚u v prostˇred´ıMicrosoft Windows. Aplikace cygwin m´astejnou adres´aˇrovou

38 KAPITOLA 5. POTREBNˇ A´ DATA PRO VYBRANE´ TESTY strukturu jako linuxov´eoperaˇcn´ısyst´emy a kop´ırovat data do domovsk´eho adres´aˇrev cygwinu lze pˇresPr˚uzkumn´ıkWindows. Nejdˇr´ıve bylo potˇrebanainstalovat aplikaci cygwin, a to s kompil´atorem gcc[42][43]. Ten je nutn´ypro instalaci n´astroj˚urodiny tcpreplay. Podle n´avod˚uprobˇehlovˇsebez probl´emu a programy fungovaly spr´avnˇe. Adres´aˇrs programem cygwin je pˇrenositeln´ya nebylo nutn´etyto kroky prov´adˇetna v´ıcepoˇc´ıtaˇc´ıch, kter´ebudou potˇrebak proveden´ıtestu.

Dalˇs´ım krokem v ´upravˇebyla zmˇenazdrojov´ych a c´ılov´ych IP a MAC adres v z´avislostina tom, ze kter´ehopoˇc´ıtaˇce budou data odes´ıl´anado s´ıtˇe.Nejdˇr´ıve vyuˇzijemeaplikaci tcpprep. Nachytan´adata jsou obousmˇern´a, to znamen´a,ˇzeobsahuj´ıjak klientskou, tak i serverovou ˇc´astprovozu. Je potˇreba,aby z odchoz´ıhopoˇc´ıtaˇceodch´azelapouze klientsk´aˇc´astdat. Toto rozdˇelen´ıse provede pr´avˇeaplikac´ı tcpprep, kter´ana z´akladˇeˇc´ıslaportu pro- voz rozdˇel´ı.Dˇelen´ıdat je zaloˇzen´ena pˇredpokladu, ˇzeodchoz´ıprovoz m´a v´ychoz´ıport vyˇsˇs´ıneˇz1024 a c´ılov´yport niˇzˇs´ıneˇz1024. Takzvanˇezn´am´e porty do hodnoty 1024 jsou implicitnˇepouˇz´ıv´any sluˇzbamijako HTTP nebo SSL a je zvykem pro tyto sluˇzby pouˇz´ıvat konkr´etn´ıˇc´ıslaport˚u.Pˇr´ıkaz pro proveden´ıtohoto dˇelen´ıje n´asleduj´ıc´ı: tcpprep --port --cachefile=example.cache --pcap=data.pcap, kde pˇrep´ınaˇc port znaˇc´ıpr´avˇeono dˇelen´ıprovozu podle ˇc´ıslaportu, pˇrep´ınaˇc cachefile oznaˇcujepomocn´ysoubor potˇrebn´yk rozdˇelen´ıprovozu a pˇrep´ınaˇc pcap ud´av´asoubor, jenˇzchceme takto rozdˇelit.

D´alepotˇrebujemezmˇenitzdrojovou a c´ılovou IP adresu, aby nebyla za- blokov´anakomunikace poˇc´ıtaˇci,jenˇzbude tato data odes´ılat do s´ıtˇe.Je tedy z´avisl´ana poˇc´ıtaˇci,ze kter´ehobudou data odes´ıl´ana. C´ılov´aadresa je adresa nˇejak´ehopoˇc´ıtaˇcev jin´es´ıti,aby data byla posl´anapˇrestestovan´e zaˇr´ızen´ı,kter´eje na pˇr´ıpojn´embodu lok´aln´ıs´ıtˇe.To provedeme n´asleduj´ıc´ım pˇr´ıkazem: tcprewrite.exe --endpoints=1.1.1.1:2.2.2.2 --cachefile= example.cache --infile=new.pcap --outfile=new1.pcap, kde pˇrep´ınaˇc endpoints ud´av´azdrojovou a c´ılovou IP adresu oddˇelenou dvojteˇckou, pˇrep´ınaˇc cachefile oznaˇcujev pˇredchoz´ımkroku vytvoˇren´ypo- mocn´ysoubor, pˇrep´ınaˇc infile ud´av´avstupn´ısoubor a pˇrep´ınaˇc outfile novˇe vytvoˇren´ysoubor se zmˇenˇen´ymiIP adresami.

Na z´avˇerje nutn´ezmˇenitzdrojovou a c´ılovou MAC adresu. Zdrojov´aMAC adresa bude adresa s´ıt’ov´ekarty poˇc´ıtaˇce,z nˇehoˇzbudeme data odes´ılata c´ılov´aMAC adresa bude adresa br´any s´ıtˇe,v n´ıˇzje tento poˇc´ıtaˇc.MAC adresu br´any s´ıtˇezjist´ıme pomoc´ıprotokolu ARP (Address Resolution Pro- tocol), kter´ypˇrekl´ad´aIP adresy na MAC adresy. Spuˇstˇen´ım pˇr´ıkazu arp

39 KAPITOLA 5. POTREBNˇ A´ DATA PRO VYBRANE´ TESTY

Velikost v B Poˇcetpaket˚u Procentu´aln´ızastoupen´ı 40-79 59 404 25,4 % 80-159 42 288 18,1 % 160-319 28 744 12,3 % 320-639 7 168 3,1 % 640-1279 9 600 4,1 % 1280-2559 86 932 37,1 %

Tabulka 5.1: Statistika velikosti TCP paket˚u. s pˇrep´ınaˇcem a z pˇr´ıkazov´eˇr´adky se zobraz´ıtabulka obsahuj´ıc´ız´aznamy IP adres a k nim pˇr´ısluˇsn´ych MAC adres. Pˇr´ıkaz mus´ıb´ytspuˇstˇenna poˇc´ıtaˇci v s´ıti,kde se nach´az´ıpoˇzadovan´av´ychoz´ıbr´ana.Ke zmˇenˇeMAC adres slouˇz´ı pˇr´ıkaz: tcprewrite --enet-dmac=00:22:19:9a:24:4a --enet-smac= 00:44:66:fc:29:bd --infile=new1.pcap --outfile=final.pcap, kde pˇrep´ınaˇc enet-dmac oznaˇcujec´ılovou MAC adresu, pˇrep´ınaˇc enet-smac zdrojovou MAC adresu a pˇrep´ınaˇce infile a outfile soubor ze zmˇenˇen´ymiIP adresami a v´ysledn´ysoubor, kter´ym´azmˇenˇeny i MAC adresy.

5.3.2 Statistika provozu s mal´ymipakety Data z´ıskan´apostupem uveden´ymv´yˇsejsou z´astupcem re´aln´ehopr˚umˇern´eho provozu. Pro lepˇs´ıpˇredstavu, jak vypad´abˇeˇzn´ys´ıt’ov´yprovoz na poˇc´ıtaˇcov´e studovnˇe,je d´aleuvedena statistika. V´ysledn´ysoubor obsahuje 377 988 pa- ket˚uo celkov´evelikosti cca 185 MB. Pr˚umˇern´avelikost paketu je 471,68 bajt˚u. V n´asleduj´ıc´ıch tabulk´ach je uvedena velikost TCP a UDP paket˚u,je- jich poˇcet,procentu´aln´ızastoupen´ıa d´alekolik paket˚ua bajt˚upˇredstavuje provoz seˇrazendle c´ılov´ehoportu a dle protokolu. Z tabulky ˇc´ıslo5.1 vypl´yv´a,ˇzes v´ıceneˇztˇretinov´ymzastoupen´ımjsou pˇr´ıtomny TCP pakety o velikosti v rozmez´ı1280-2559 bajt˚u.Jedn´ase pˇrev´aˇz- nˇeo pˇrenosdat. D´alejsou zastoupeny naopak mal´epakety o velikosti mezi 40-79 bajt˚use ˇctvrtinov´ympod´ılem.Jsou to potvrzovac´ıpakety TCP tok˚u. V tabulce ˇc´ıslo 5.2 lze pozorovat nejvˇetˇs´ı zastoupen´ı paket˚uvelikosti 80-319, je jich v´ıceneˇz98 %. Nejv´ıceje zastoupen protokol TCP a UDP a u port˚use jedn´ahlavnˇe o porty, kter´ejsou nutn´epro bˇehsluˇzby Microsoft Active Directory[44]. Tyto informace jsou vidˇetv tabulk´ach ˇc´ıslo5.3 a 5.4. Studenti se na poˇc´ıtaˇcepˇrihlaˇsuj´ıpr´avˇepomoc´ı´uˇct˚uuloˇzen´ych v Active Di- rectory a autentizuj´ıse pomoc´ıtiket˚usyst´emu Kerberos. Ten slouˇz´ık udˇelo-

40 KAPITOLA 5. POTREBNˇ A´ DATA PRO VYBRANE´ TESTY

Velikost v B Poˇcetpaket˚u Procentu´aln´ızastoupen´ı 40-79 1 840 1,3 % 80-159 90 008 62,6 % 160-319 51 156 35,6 % 1280-2559 832 0,6 %

Tabulka 5.2: Statistika velikosti UDP paket˚u.

Protokol Poˇcetpaket˚u Velikost TCP (Transmission Control Protocol) 234 136 156 MB UDP () 143 852 22 MB NetBios Name Service 86 404 8,2 MB SMB (Server Message Block Protocol) 67 935 12,3 MB

Tabulka 5.3: Statistika na z´akladˇeprotokolu.

C´ıl.port Poˇcetpaket˚u Velikost 445 (Microsoft-DS) 170 864 140,2 MB 137 (Netbios-ns) 86 404 8,3 MB 138 (Netbios-ds) 48 708 11,5 MB 80 (HTTP) 43 572 7,7 MB

Tabulka 5.4: Statistika na z´akladˇec´ılov´ehoportu.

41 KAPITOLA 5. POTREBNˇ A´ DATA PRO VYBRANE´ TESTY v´an´ıopr´avnˇen´ıpro jednotliv´esluˇzby Active Directory, jako jsou pˇr´ıstupy na sd´ılen´e´uloˇziˇstˇe.Velk´ezastoupen´ıtˇechto port˚unen´ına ˇskodu, protoˇzemnoho firem m´anasazenu sluˇzbuActive Directory a jedn´ase o celkem bˇeˇzn´yprovoz vyskytuj´ıc´ıse na dan´ych s´ıt´ıch. Hned v z´avˇesuse jedn´ao port ˇc´ıslo80, na kter´emfunguje sluˇzbaHTTP, tedy v´ymˇenahypertextov´ych dokument˚uve form´atuHTML. To je d´anot´ım,ˇzestudenti ˇcastohledaj´ına internetu in- formace pro studijn´ı´uˇcely, coˇzkoreluje i s velk´ymzastoupen´ımpˇren´aˇsen´ych soubor˚u.Jedn´ase hlavnˇeo r˚uzn´edokumenty a studijn´ımateri´aly, kter´esi studenti stahuj´ı.

42 Kapitola 6

Proveden´ıa v´ysledky vybran´ych test˚u

Vˇsechny n´asleduj´ıc´ıtesty byly provedeny na poˇc´ıtaˇc´ıch Celouniverzitn´ıpoˇc´ı- taˇcov´estudovny MU s operaˇcn´ımsyst´ememMicrosoft Windows XP Profes- sional zapojen´ych do gigabitov´es´ıtˇe.Testov´anobylo IDS zaˇr´ızen´ıKernun KNA Enterprise, na kter´emje nainstalov´anoperaˇcn´ısyst´emFreeBSD. IDS bylo zapojeno pˇr´ımodo s´ıtˇetak, aby veˇsker´yprovoz smˇeˇrovan´ymimo lok´aln´ı s´ıt’ proch´azelpˇrestoto zaˇr´ızen´ı.N´asleduj´ıc´ıtesty byly provedeny v reˇzimu paketov´ehofiltru bez pravidel. Aby se testy daly prov´esti v reˇzimu pa- ketov´ehofiltru s filtrovac´ımi pravidly nebo reˇzimu IDS, bylo by potˇreba nastavit na IDS zaˇr´ızen´ıpravidla nutn´apro provoz studovny. Tato nejsou trivi´aln´ıa za chodu studovny, kter´am´anepˇretrˇzitouotev´ırac´ıdobu, nen´ı vhodn´etestovat, zda-li jsou nastavena spr´avnˇea vˇsefunguje korektnˇe. Pro test s velk´ymipakety nelze pouˇz´ıtpouze provoz, ve kter´em budou pakety s nejvˇetˇs´ımoˇznoud´elkou. K tomuto ´uˇceluby mohl poslouˇzitprovoz s pˇrenosemsouboru, kde by pakety byly nejvˇetˇs´ı.Aby se zvˇetˇsilapr˚umˇern´a velikost paket˚u,musely by se odstranit mal´epakety, kter´eTCP protokol pouˇz´ıv´ak potvrzen´ıspr´avn´ehopˇrenosudat. Provoz bez tˇechto potvrzovac´ıch paket˚uale nepropust´ıtestovan´ezaˇr´ızen´ı,protoˇzev reˇzimu paketov´ehofiltru takov´yprovoz oznaˇcujeza nespr´avn´y. Dalˇs´ıpˇrek´aˇzkou by mohla b´ytomezen´av´ykonnost firewallu, jenˇzse star´a o bezpeˇcnost poˇc´ıtaˇc˚una studovnˇe.Tyto obavy se ale v z´avˇerunepotvrdily. Pro testov´an´ımaxim´aln´ıhopoˇctusouˇcasn´ych spojen´ıje potˇrebam´ıtk dis- pozici v´ykonn´ywebov´yserver, ale pouˇzit´ınˇekter´eho funguj´ıc´ıhoby mohlo v´estk omezen´ıjeho dostupnosti. Tento test nebyl proveden. Testy pro jin´enastaven´ıIDS zaˇr´ızen´ıby prob´ıhalytotoˇznˇejako v reˇzimu paketov´ehofiltru bez pravidel.

43 KAPITOLA 6. PROVEDEN´IAVYSLEDKY´ VYBRANYCH´ TESTU˚

6.1 Test stahov´an´ı

Tento test slouˇzilhlavnˇejako kontrola funkˇcnostiprogramu Kernun GUI, zda-li se bez probl´em˚upˇripoj´ı k testovan´emu zaˇr´ızen´ı a jestli budou na v´ystupn´ıch grafech tohoto programu vidˇetzmˇeny v z´atˇeˇzis´ıtˇe,poˇctupˇrenese- n´ych bajt˚ua paket˚u. Pro jednoduˇsˇs´ıpouˇzit´ız pˇr´ıkazov´eˇr´adkybyl pouˇzit program wget. Usnadnil pouˇstˇen´ıv´ıcesouˇcasn´ych stahov´an´ına vˇetˇs´ımpoˇctu poˇc´ıtaˇc˚u.Nejprve se na jednom poˇc´ıtaˇcipomoc´ıaplikace wget spustilo sta- hov´an´ısouboru popsan´ehodˇr´ıve. Rychlost stahov´an´ıbyla kolem 10 MB/s a tato hodnota se tak´eprojevila na grafu zobrazen´emv programu Ker- nun GUI. Bylo proto spuˇstˇenostahov´an´ına v´ıcepoˇc´ıtaˇc´ıch souˇcasnˇea ma- xim´aln´ıhodnota, kter´abyla vyˇctenaz grafu, kol´ısalakolem 250 MB/s. Aby se vylouˇcilanedostateˇcn´akapacita serveru, na kter´emje uloˇzenstahovan´y soubor, bylo na dalˇs´ımpoˇc´ıtaˇcispuˇstˇenostahov´an´ıjin´ehosouboru z inter- netu. Rychlost se ani tak nezmˇenilaa na vˇsech ostatn´ıch poˇc´ıtaˇc´ıch tedy klesla. V´ysledn´amaxim´aln´ıhodnota skonˇcilana 250 MB/s. Uˇceltestu´ byl splnˇen.Byla potvrzena funkˇcnostaplikace Kernun GUI a spr´avn´ezapojen´ı testovan´ehozaˇr´ızen´ıIDS Kernun v s´ıti.Veˇsker´yprovoz proch´azelpˇres toto zaˇr´ızen´ı.

6.2 Test instalace

Dalˇs´ıv poˇrad´ıbylo zat´ıˇzen´ıtestovan´ehoIDS pomoc´ıbezobsluˇzn´evzd´alen´e instalace operaˇcn´ıhosyst´emu Windows XP Professional, automatick´ehopˇri- d´an´ıdo dom´eny a n´asledn´einstalace softwaru pomoc´ısluˇzby Active Direc- tory a jej´ıch politik. Tento test byl proveden na 26 poˇc´ıtaˇc´ıch. Instalace je prov´adˇenapomoc´ın´astroje OPSI. S´ıt’ov´ekarty jsou nasta- veny do reˇzimu PXE, ve kter´emje poˇc´ıtaˇcschopen nastartovat syst´emze s´ıtˇe.V tomto momentˇesi z OPSI serveru st´ahne obraz linuxov´edistribuce Debian a pot´ese zaˇcnoustahovat konkr´etn´ıinstalaˇcn´ısoubory operaˇcn´ıho syst´emu Windows XP Professional. Obraz linuxov´edistribuce je stahov´an pomoc´ıprotokolu TFTP (jedn´ase o UDP provoz) a soubory operaˇcn´ıho syst´emu jsou stahov´any implementac´ı Samba protokolu SMB (TCP pro- voz). Na n´asleduj´ıc´ıch grafech je stahov´an´ılinuxov´edistribuce zaznamen´ano v obdob´ı11:00-11:25 hod. Pot´ese instaluje samotn´yoperaˇcn´ısyst´ema na s´ıt’ poˇc´ıtaˇcenepotˇrebuj´ıpˇristupovat. Instalace operaˇcn´ıhosyst´emu trv´acca 40 minut. Automaticky spuˇstˇen´yskript po instalaci pˇrid´apoˇc´ıtaˇcdo dom´eny a d´ıkytomu se pomoc´ıpolitik sluˇzby Active Directory zaˇcneinstalovat soft- ware – to znamen´astahov´an´ı bal´ık˚uMSI (Microsoft Windows Installer) z datov´eho´uloˇziˇstˇenebo instalace pomoc´ıskript˚upˇristupuj´ıc´ıch na ´uloˇziˇstˇe. Jedn´ase o protokol SMB. Na grafech odpov´ıd´atoto obdob´ıˇcasu11:50-12:30 hod.

44 KAPITOLA 6. PROVEDEN´IAVYSLEDKY´ VYBRANYCH´ TESTU˚

Na grafu z obr´azkuˇc´ıslo6.1 je vidˇetpr˚ubˇehstahov´an´ıobrazu Debianu a in- stalaˇcn´ıch soubor˚uOS (11:00-11:25). Maxim´aln´ıdosaˇzen´ahodnota je 235,09 Mbps.

Obr´azek6.1: Pr˚ubˇehinstalace OS v bitech za sekundu.

Obr´azekˇc´ıslo6.2 ukazuje tot´eˇz,pouze jsou zde poˇc´ıt´any pakety za sekundu. Maxim´aln´ıhodnota je 21 270 paket˚u.

Obr´azek6.2: Pr˚ubˇehinstalace OS v paketech za sekundu.

Na obr´azc´ıch ˇc´ıslo6.3 a 6.4 lze vidˇetpr˚ubˇehinstalace softwaru. Tato f´aze odpov´ıd´aobdob´ımezi 11:50 aˇz12:30. Nezaˇcalaprob´ıhatna vˇsech poˇc´ıtaˇc´ıch souˇcasnˇe,ale instaluje se asi 40 program˚u,takˇzekolem ˇcasu12:10 data sta- hovalo s jistotou vˇsech 26 poˇc´ıtaˇc˚usouˇcasnˇe.

Z grafu na obr´azkuˇc´ıslo6.3 je vidˇetpoˇcetbit˚uza sekundu bˇeheminstalace softwaru. Maxim´aln´ıhodnota je 367,76 Mbps.

45 KAPITOLA 6. PROVEDEN´IAVYSLEDKY´ VYBRANYCH´ TESTU˚

Obr´azek6.3: Pr˚ubˇeh instalace softwaru v bitech za sekundu.

Na obr´azkuˇc´ıslo6.4 je tot´eˇzv paketech za sekundu. Zde je maxim´aln´ıhod- nota 32 270 paket˚u.

Obr´azek6.4: Pr˚ubˇehinstalace softwaru v paketech za sekundu.

Pod´ıvejme se nyn´ına obr´azekˇc´ıslo6.5, jenˇzzobrazuje interval pˇetihodin, na kter´emje zachycena jak instalace operaˇcn´ıhosyst´emu, tak instalace pro- gram˚u. Udaje´ jsou v bitech za sekundu. Zde lze snadno vypozorovat, ˇzeinstalace operaˇcn´ıhosyst´emu prob´ıhala pomaleji. Tento fakt je velmi pravdˇepodobnˇezp˚usoben t´ım,ˇze OPSI ser- ver pro distribuci instalaˇcn´ıch soubor˚uje pouze jeden a je um´ıstˇenv pro- stor´ach Ustavu´ v´ypoˇcetn´ıtechniky[45], kdeˇztoDFS (Distributed File Sys- tem) ´uloˇziˇstˇeprogram˚uje fyzicky um´ıstˇenov prostor´ach Celouniverzitn´ı poˇc´ıtaˇcov´euˇcebny MU a obsluhuj´ıjej dva servery vyuˇz´ıvaj´ıc´ıreˇzimNLB

46 KAPITOLA 6. PROVEDEN´IAVYSLEDKY´ VYBRANYCH´ TESTU˚

(Network Load Balancing)[46]. NLB slouˇz´ık vyvaˇzov´an´ız´atˇeˇzena v´ıceser- ver˚uvytvoˇren´ımclusteru.

Obr´azek6.5: Pr˚ubˇehinstalace softwaru a OS v bitech za sekundu.

Nelze ani vylouˇcit,ˇzedostateˇcn´yv´ykon nem´ai DFS ´uloˇziˇstˇea namˇeˇren´ehod- noty bˇeheminstalace softwaru nemus´ıb´ytlimitn´ıpro testovan´eIDS Kernun. Kter´az tˇechto dvou variant je pravdiv´abude ovˇeˇrenopomoc´ın´asleduj´ıc´ıho testu pos´ıl´an´ıre´aln´ehoprovozu do s´ıtˇe.

6.3 Test pos´ıl´an´ıdat

Tento test byl proveden pomoc´ın´astroje tcpreplay. Maxim´aln´ıhodnota pro- pustnosti byla dosaˇzenapˇrivyuˇzit´ı 12 poˇc´ıtaˇc˚u.Pokud se provoz spustil z v´ıce poˇc´ıtaˇc˚u,hodnoty se jiˇznezmˇenilya maxim´aln´ı rychlost z˚ustala totoˇzn´a. K proveden´ıtestu byla vyuˇzitaaplikace tcpreplay nainstalovan´av prostˇre- d´ı programu cygwin. Cygwin byl v prvn´ı f´azinahr´anna pˇetpoˇc´ıtaˇc˚uve studovnˇe,aby byla odzkouˇsenafunkˇcnosttestu. Pomoc´ıprogram˚u tcpprep a tcprewrite byly na kaˇzd´emz nich zmˇenˇeny adekv´atnˇeIP a MAC adresy postupem popsan´ymv´yˇsea byl spuˇstˇenpˇr´ıkaz: tcpreplay --intf1=%0 -t --loop=5 final.pcap, kde pˇrep´ınaˇc intf1 urˇcujes´ıt’ovou kartu (v prostˇred´ı cygwin je odkazov´ana pomoc´ı znaku %, odkaz lze zjistit pomoc´ı pˇrep´ınaˇce listnics), pˇrep´ınaˇc t zajist´ıpˇrehr´an´ıprovozu nejvyˇsˇs´ırychlost´ıa pˇrep´ınaˇc loop poˇslesoubor fi- nal.pcap pˇetkr´atza sebou. Smyˇcka pˇetiopakov´an´ıbyla pouˇzita,aby bylo moˇzn´espustit tcpreplay na v´ıcepoˇc´ıtaˇc´ıch souˇcasnˇe.T´ımto bylo zajiˇstˇeno, aby byly data pos´ıl´any ze vˇsech poˇc´ıtaˇc˚usouˇcasnˇepo delˇs´ıˇcasov´eobdob´ı. Protoˇze cygwin je pouze nahrazen´ımlinuxov´ehoprostˇred´ı,komunikace s hardwarem poˇc´ıtaˇceneprob´ıh´apˇr´ımoa je zpomalena t´ımto prostˇred´ım,je

47 KAPITOLA 6. PROVEDEN´IAVYSLEDKY´ VYBRANYCH´ TESTU˚ maxim´aln´ırychlost odes´ılan´ıdat omezena hodnotou 50 Mbps. Pˇripouˇzit´ı tcpreplay pˇr´ımona linuxov´emoperaˇcn´ımsyst´emu je rychlost n´asobnˇevyˇsˇs´ı. Pro test to znamen´apouˇzit´ıv´ıcepoˇc´ıtaˇc˚u.Pˇreinstalacena linuxov´yoperaˇcn´ı syst´emna studovnˇenebyla moˇzn´a.V ´uvahu pˇripadalopouˇzit´ılive cd, ale snahou bylo vyuˇz´ıtpouze prostˇred´ıMicrosoft Windows, kter´ypouˇz´ıv´aCe- louniverzitn´ıpoˇc´ıtaˇcov´astudovna MU. Vˇsefungovalo podle pˇredpoklad˚ua postupnˇebyl zvyˇsov´anpoˇcetpoˇc´ıtaˇc˚u, aby bylo dosaˇzenomaxim´aln´ıhozat´ıˇzen´ıs´ıtˇe.Pˇrid´an´ımtˇrin´act´ehopoˇc´ıtaˇce se jiˇzhodnota ud´avan´av grafu Kernun GUI popisuj´ıc´ıms´ıt’ov´erozhran´ı nezmˇenila.

Na obr´azkuˇc´ıslo6.6 vid´ımev´ysledektestu v bitech za sekundu. Graf zob- razuje intern´ıs´ıt’ov´erozhran´ıa modr´akˇrivka zobrazuje mnoˇzstv´ıdat, kter´a jsou odes´ıl´anaz testovac´ıch poˇc´ıtaˇc˚u.Maxim´aln´ıdosaˇzen´ahodnota je 549,33 Mbps.

Obr´azek6.6: Test pos´ıl´an´ıdat na intern´ımrozhran´ıv bitech za sekundu.

Na obr´azkuˇc´ıslo6.7 vid´ımev´ysledektestu v paketech za sekundu takt´eˇz na intern´ımrozhran´ıIDS Kernun. Maxim´aln´ıdosaˇzen´ahodnota je 143 010 paket˚uza sekundu. Tato hodnota je neoˇcek´avanˇevysok´a,bˇeˇzn´ejsou ma- xim´aln´ıhodnoty kolem 80 000 paket˚uza sekundu.

Obr´azkyˇc´ıslo6.8 a 6.9 ukazuj´ıextern´ıs´ıt’ov´erozhran´ıa zelen´akˇrivka zob- razuje odeslan´adata ven ze s´ıtˇe.Maxim´aln´ıhodnoty jsou zde 548,38 Mbps a 142 990 paket˚uza sekundu. Ztr´atadat na testovan´emzaˇr´ızen´ıje naprosto minim´aln´ıa je moˇzn´e,ˇzevznikla v r´amcibˇeˇzn´eho provozu prob´ıhaj´ıc´ıhona studovnˇea nikoliv v odes´ılan´ych datech.

48 KAPITOLA 6. PROVEDEN´IAVYSLEDKY´ VYBRANYCH´ TESTU˚

Obr´azek6.7: Test pos´ıl´an´ıdat na intern´ımrozhran´ıv paketech za sekundu.

Obr´azek6.8: Test pos´ıl´an´ıdat na extern´ımrozhran´ıv bitech za sekundu.

49 KAPITOLA 6. PROVEDEN´IAVYSLEDKY´ VYBRANYCH´ TESTU˚

Obr´azek6.9: Test pos´ıl´an´ıdat na extern´ımrozhran´ıv paketech za sekundu.

Pˇripos´ıl´an´ıdat pomoc´ıpoˇc´ıtaˇc˚ubyla souˇcasnˇetestov´anaodezva jak zaˇr´ızen´ı Kernun, tak br´any lok´aln´ıs´ıtˇe. Pˇrid´av´an´ımpoˇc´ıtaˇc˚uodes´ılaj´ıc´ıch data se prodluˇzovala doba odezvy u obou zaˇr´ızen´ı.Kernun ovˇsemodpov´ıdals pr˚u- mˇernouhodnotou vyˇsˇs´ıneˇzbr´anaa pˇrimaxim´aln´ımzat´ıˇzen´ıs´ıtˇepˇrestal odpov´ıdat ´uplnˇe,kdeˇztobr´anaalespoˇnˇc´asteˇcnˇeodpov´ıdala. Na z´akladˇe tˇechto informac´ılze vyvodit z´avˇer,ˇzebylo dosaˇzenomaxim´aln´ıpropustnosti zaˇr´ızen´ıKernun IDS. Varianta Enterprise spoleˇcnostiKernun je dle v´yrobce koncipov´anapro s´ıtˇes pˇripojen´ım500 Mbps s aˇz500 uˇzivateli. Maxim´aln´ınamˇeˇren´ahodnota propustnosti byla cca 550 Mbps, odpov´ıd´atedy hodnotˇeud´avan´ev´yrobcem a m˚uˇzeb´ytpovaˇzov´anaza maxim´aln´ıpropustnost IDS v kombinaci reˇzimu paketov´ehofiltru bez pravidel a pr˚umˇernˇevelk´ych paket˚uv provozu.

50 Kapitola 7

Z´avˇer

C´ılem pr´acebylo navrhnout metodiku testov´an´ı IDS zaˇr´ızen´ı. Prostudo- val jsem, jak´emarketingov´eparametry u sv´ych v´yrobk˚uuv´ad´ınejzn´amˇejˇs´ı v´yrobci IDS a shrnul je do tabulky. Na z´akladˇetˇechto informac´ıjsem vybral nejv´ıcese vyskytuj´ıc´ıparametry. Provedl jsem anal´yzujiˇznavrˇzen´ych me- todik pro testov´an´ısyst´em˚una detekci s´ıt’ov´ych ´utok˚ua prozkoumal jsem nˇekter´eproveden´etesty. Data potˇrebn´ak proveden´ıtest˚ubyla klasifikov´ana do ˇctyˇrtˇr´ıd,ze kter´ych jsem vybral, dle m´ehon´azoru,nejlepˇs´ıvariantu. Tou je pouˇzit´ıre´aln´ehoprovozu, kter´ybude upraven pro opˇetovn´eposl´an´ı. Provedl jsem testy slouˇz´ıc´ık odzkouˇsen´ıpotˇrebn´ehosoftwaru a v´ysledn´y test na zjiˇstˇen´ımaxim´aln´ıpropustnosti zaˇr´ızen´ıKernun KNA Enterprise. Zaˇr´ızen´ı bylo v reˇzimu paketov´ehofiltru bez pravidel a byly pouˇzity pa- kety pr˚umˇern´evelikosti. V´ysledkem testu byl dosaˇzenv´ysledek550 Mbps, kter´yje limitn´ıpro testovan´ezaˇr´ızen´ı.V´ysledn´ahodnota je m´ırnˇevyˇsˇs´ı,neˇz doporuˇcovan´amaxim´aln´ıpropustnost s´ıtˇeod v´yrobce, kter´aje 500 Mbps. Domn´ıv´amse, ˇzenavrˇzenoumetodiku testu lze pouˇz´ıtpro testov´an´ıIDS zaˇr´ızen´ı. Metodika testov´an´ı IDS zaˇr´ızen´ı je velmi komplexn´ı a navrˇzen´etesty mohou poslouˇzitjako z´akladpro dalˇs´ıupˇresnˇen´ıv´ysledk˚ua rozˇs´ıˇren´ıtest˚u. Ide´alemby bylo vytvoˇritsadu test˚u,jeˇzby bylo moˇzn´epouˇz´ıtna jak´ekoliv zaˇr´ızen´ıa kter´aby nezv´yhodˇnovala ani nediskriminovala ˇz´adn´eIDS.

51 Literatura

[1] Athanasiades, N., Abler, R., Levine, J., Owen, H., Riley, G., Intru- sion detection testing and benchmarking methodologies, Information Assurance, 2003, IWIAS 2003. Proceedings. First IEEE International Workshop on 24 March 2003 [2] Peter Mell, Vincent Hu, Richard Lippmann, Josh Haines, Marc Zissman, An Overview of Issues in Testing Intrusion Detection Sys- tems, NIST IR 7007 Jun 2003 [3] Karen Scarfone, Peter Mell, Guide to Intrusion Detection and Preven- tion Systems (IDPS), NIST Special Publication 800-94, February 2007 [4] Aprias, Roman, IDS, dostupn´e z www: http://www.cs.vsb.cz/ grygarek/SPS/projekty0405/IDS/ids.html (7. 12. 2010) [5] Magalhaes, Ricky M., Host-Based IDS vs Network-Based IDS (Part 1), dostupn´ez www: http://www.windowsecurity.com/articles/Hids_ vs_Nids_Part1.html, Jul 10, 2003 (7. 12. 2010) [6] Cisco Systems, Inc., Catalyst Switched Port Analyzer (SPAN) Configuration Example – Cisco Systems, dostupn´e z www: http://www.cisco.com/en/US/products/hw/switches/ps708/ products_tech_note09186a008015c612.shtml, (7. 12. 2010) [7] Check Point Software Technologies, Inc., Total Security Products — Check Point Software, dostupn´e z www: http://www.checkpoint. com/products/index.html (7. 12. 2010) [8] Cisco Systems, Inc., Products & Services – Cisco Systems, dostupn´e z www: http://www.cisco.com/en/US/products/index.html (7. 12. 2010)

[9] McAfee, Inc., McAfee R – enterprise – McAfee Firewall Enterprise, do- stupn´ez www: http://www.mcafee.com/us/enterprise/products/ network_security/firewall_enterprise.html (7. 12. 2010) [10] Astaro GmbH & Co. KG, The Astaro Product Portfolio, dostupn´e z www: http://www.astaro.com/products (7. 12. 2010)

52 LITERATURA

[11] Fortinet, Inc., Fortinet, Inc. : Network Security Tools — Network Security Hardware — Network Security Appliances, dostupn´ez www: http://www.fortinet.com/products/ (7. 12. 2010) [12] Juniper Networks, Inc., Products and Services – Network Security Products and Services – Juniper Networks, dostupn´ez www: http: //www.juniper.net/us/en/products-services/(7.12.2010

[13] Trusted Network Solutions, a. s., Uvod´ , dostupn´ez www: http://www. tns.cz/ (7. 12. 2010), November 18, 2010 [14] Desai, Marmagna, Survey – IDS testing, dostupn´e z www: http://web2.uwindsor.ca/courses/cs/aggarwal/cs60592/ IDSTesting.ppt (7. 12. 2010) [15] Zanero, Stefano, My IDS is better than yours!, dostupn´e z www: http://www.blackhat.com/presentations/bh-federal-06/ BH-Fed-06-Zanero.pdf (7. 12. 2010) [16] Cisco Systems, Inc. Capacity Cerification for High-Speed Network Intrusion Detection Systems, dostupn´ez www: http://www.cisco. com/warp/public/cc/pd/sqsw/sqidsz/prodlit/capv_ai.pdf (7. 12. 2010)

[17] Lincoln Laboratory, Massachusetts Institute of Technology, MIT Lin- coln Laboratory, http://www.ll.mit.edu/index.html (7. 12. 2010)

[18] DARPA, DARPA — Home, http://www.darpa.mil/ (7. 12. 2010) [19] The NSS Group, Intrusion Detection Systems Group Test (Edition 2), December 2001, Oakwood House, Wennington, England

[20] Rain forest puppy, wiretrip.net - rain forest puppy, http://www. wiretrip.net/rfp/ (7. 12. 2010)

[21] Spirent Communications, SmartBits, http://www.spirent.com/ Solutions-Directory/Smartbits.aspx (7. 12. 2010)

[22] Nezn´am´yautor, usage – Tcpreplay, http://tcpreplay.synfin.net/ wiki/usage#UsageExamples (7. 12. 2010) [23] Nezn´am´y autor, Referenˇcn´ı model ISO/OSI dostupn´e z www: http://cs.wikipedia.org/wiki/Referen\%C4\%8Dn\%C3\%AD_ model_ISO/OSI (7. 12. 2010) [24] Ptacek, Thomas H., Newsham, Timothy N., Insertion, Evasion and Denial of Service: Eluding Network Intrusion Detection, dostupn´e z www: http://cs.unc.edu/~fabian/course_papers/ PtacekNewsham98.pdf, January 1998 (7. 12. 2010)

53 LITERATURA

[25] Techworld, ISS Reports Snort Vulnerability, dostupn´e z www: http://news.techworld.com/security/11/ iss-reports-snort-vulnerability/ (7. 12. 2010)

[26] Wireshark, Wireshark • Go Deep., dostupn´e z www: http://www. wireshark.org/ (7. 12. 2010)

[27] Tcpdump/Libpcap, TCPDUMP/LIBPCAP public repository, dostupn´e z www: http://www.tcpdump.org/ (7. 12. 2010)

[28] Nezn´am´yautor, pcap, dostupn´ez www: http://en.wikipedia.org/ wiki/Pcap (7. 12. 2010)

[29] Haas, Herbert, perihel – closer to the sun, dostupn´ez www: http: //www.perihel.at/sec/mz/ (7. 12. 2010)

[30] Nezn´am´yautor, Iperf, dostupn´ez www: http://iperf.sourceforge. net/ (7. 12. 2010)

[31] The Apache Software Foundation, ab – Apache HTTP server ben- chmarking tool, dostupn´ez www: http://httpd.apache.org/docs/ 2.0/programs/ab.html (7. 12. 2010)

[32] Tenable Network Security, the Network Vulneraibility Scanner, do- stupn´ez www: http://www.nessus.org/nessus/intro.php (7. 12. 2010)

[33] Rapid7, Penetration Testing — The Metasploit Project, dostupn´e z www: http://www.metasploit.com/ (7. 12. 2010)

[34] Trusted Network Solutions, a.s, Kernun GUI Setup, dostupn´ez www: http://download.kernun.com/sw/demo/3.2/KernunGUISetup-3.2. 1-H5.exe (7. 12. 2010)

[35] Trusted Network Solutions, a. s., Kernun Handbook, dostupn´e z www: http://download.kernun.com/doc/handbook.pdf, November 18, 2010, (7. 12. 2010)

[36] Nezn´am´y autor, PuTTY: a free telnet/ssh client, dostupn´e z www: http://www.chiark.greenend.org.uk/~sgtatham/putty/ download.html (7. 12. 2010)

[37] Nezn´am´yautor, PuTTY Donwload Page, dostupn´ez www: http:// www.chiark.greenend.org.uk/~sgtatham/putty/download.html (7. 12. 2010)

[38] Free Software Foundation, Inc., GNU Wget, dostupn´ez www: http: //www.gnu.org/software/wget/ (7. 12. 2010)

54 LITERATURA

[39] Masarykova Univerzita, Celouniverzitn´ıpoˇc´ıtaˇcov´astudovna MU, do- stupn´ez www: http://www.muni.cz/ics/services/ups/cps/ (7. 12. 2010)

[40] opsi.org, opsi.org, dostupn´ez www: http://opsi.org/ (7. 12. 2010)

[41] Red Hat, Inc., Cygwin, dostupn´ez www: http://www.cygwin.com/ (7. 12. 2010)

[42] Computer Engineering Research Group, Computer Engineering Re- search Group, dostupn´e z www: http://www.eecg.utoronto.ca/ ~aamodt/ece242/cygwin.html (7. 12. 2010) [43] Nezn´am´y autor, tcpreplay and cygwin, dostupn´e z www: http:// tcpreplay.synfin.net/browser/trunk/docs/Win32Readme.txt (7. 12. 2010)

[44] Nezn´am´y autor, Active Directory, dostupn´e z www: http://cs. wikipedia.org/wiki/Active_Directory (7. 12. 2010)

[45] Masarykova Univerzita, Ustav´ v´ypoˇcetn´ı techniky, dostupn´ez www: http://www.muni.cz/ics (7. 12. 2010)

[46] Microsoft, Network Load Balancing Technical Overview, dostupn´e z www: http://technet.microsoft.com/en-us/library/bb742455. aspx (7. 12. 2010)

55