Testován´I Propustnosti

Masarykova univerzita }w¡¢£¤¥¦§¨ Fakulta informatiky !"#$%&'()+,-./012345

Testov´an´ıpropustnosti IDS

Diplomova´ prace´

Jakub Dobrovoln´y

Brno, 2011 Prohl´aˇsen´ı

Prohlaˇsuji,ˇzetato práceje mýmp˚uvodn´ımautorskýmd´ılem,kteréjsem vypracoval samostatnˇe.Vˇsechny zdroje, prameny a literaturu, kteréjsem pˇrivypracován´ıpouˇz´ıval nebo z nich ˇcerpal,v práciˇrádnˇecituji s uveden´ım úplnéhoodkazu na pˇr´ısluˇsnýzdroj.

Jakub Dobrovoln´y Podˇekov´an´ı

Rádbych zde podˇekoval svému vedouc´ımu práceRNDr. Václavu Lorencovi a konzultantovi Mariánovi Krˇcmárikovi za vstˇr´ıcnýpˇr´ıstup,rady a pˇripom´ınky pˇriˇreˇsen´ımédiplomovéprácea pˇredevˇs´ımza ˇcas,kterými vˇenovali. Dále bych velmi rádpodˇekoval svérodinˇeza podporu a motivaci v nejtˇeˇzˇs´ıch chv´ıl´ıch a takésvýmpˇrátel˚um.Dˇekuji. Shrnut´ı

Pˇriprodeji nebo koupi nˇejakéhovýrobkuje d˚uleˇzitéo nˇemznátco nejv´ıce údaj˚u.Tato prácese zabývámetodikou pro testován´ısystém˚una detekci s´ıt’ových pr˚unik˚u,kterálze pouˇz´ıtna jakémkoliv systému, bez ohledu na jeho výrobce. Jsou probrány r˚uznénástroje vhodnék proveden´ınavrhovaných test˚ua na závˇerje nˇekolik test˚uprovedeno na výrobkuKernun a dosaˇzené výsledkyshrnuty. Kl´ıˇcováslova propustnost, Intrusion Detection System, IDS, systémna detekci s´ıt’ových útok˚u,Kernun, tcpprep, tcpreplay, tcprewrite, wireshark Obsah

1 Uvod´ 10 1.1 Oficiáln´ızadán´ıpráce ...... 11

2 Systémy na detekci s´ıt’ových pr˚unik˚u 12 2.1 Co jsou ID(P)S ...... 12 2.2 D˚uleˇzitéterm´ıny ...... 12 2.3 Rozdˇelen´ıIDS ...... 13 2.3.1 Rozdˇelen´ıdle um´ıstˇen´ı...... 13 2.3.2 Rozdˇelen´ıdle principu detekce ...... 16 2.3.3 Rozdˇelen´ıdle okamˇzikuvyhodnocován´ı ...... 16 2.3.4 Rozdˇelen´ına základˇeaktivity ...... 17

3 Parametry výrobk˚uIDS a existuj´ıc´ızp˚usoby testován´ı 19 3.1 Pˇrehledparametr˚udle výrobc˚u...... 19 3.2 Existuj´ıc´ıˇreˇsen´ı...... 21 3.3 Definice typu testován´ı...... 21 3.4 Kvantitativnˇemˇeˇritelnécharakteristiky IDS ...... 22 3.4.1 Pokryt´ıhrozeb ...... 22 3.4.2 Pravdˇepodobnost faleˇsných poplach˚u...... 22 3.4.3 Pravdˇepodobnost detekce ...... 23 3.4.4 Odolnost proti útok˚umvedenýmna IDS ...... 23 3.4.5 Schopnost zvládnut´ıvelkéhomnoˇzstv´ıprovozu . . . . 23 3.4.6 Schopnost detekovat novéútoky ...... 24 3.4.7 Dalˇs´ımˇeˇren´ı ...... 24 3.5 Testy IDS ...... 24 3.5.1 Obecnámetodika ...... 24 3.5.2 MIT Lincoln Laboratory (MIT/LL) ...... 25 3.5.3 NSS Group ...... 25 3.6 Problémy pˇritestován´ı...... 26 3.6.1 Problémsbˇeruútok˚ua softwaru ...... 26 3.6.2 Rozd´ılnépoˇzadavky na testován´ır˚uzných typ˚uIDS . 26 3.6.3 Typ provozu pouˇzitýv testech ...... 27 3.7 Navrhovanýzp˚usobtest˚u ...... 28

6 OBSAH

4 Software pro testován´ı 30 4.1 Nachytán´ıreálnéhoprovozu ...... 30 4.1.1 Wireshark ...... 30 4.2 Generován´ıprovozu ...... 31 4.2.1 Mausezahn ...... 32 4.2.2 Iperf ...... 32 4.3 Poˇcetsouˇcasných spojen´ı ...... 33 4.4 Utoky´ ...... 33 4.4.1 Nessus ...... 33 4.4.2 Metasploit ...... 34 4.5 Uprava´ a pˇrehrán´ıprovozu ...... 34 4.6 Kernun GUI ...... 34

5 Potˇrebnádata pro vybranétesty 37 5.1 Test stahován´ı– potˇrebnádata ...... 37 5.2 Test instalace – potˇrebnádata ...... 37 5.3 Test pos´ılán´ıdat – potˇrebnádata ...... 38 5.3.1 Uprava´ uloˇzených dat ...... 38 5.3.2 Statistika provozu s malýmipakety ...... 40

6 Proveden´ıa výsledkyvybraných test˚u 43 6.1 Test stahován´ı ...... 44 6.2 Test instalace ...... 44 6.3 Test pos´ılán´ıdat ...... 47

7 Z´avˇer 51

Literatura 52

7 Seznam obr´azk˚u

2.1 S´ıt’ov´eIDS...... 13 2.2 Zapojen´ıpomoc´ıSPAN...... 14 2.3 Hostitelsk´eIDS...... 15

4.1 Jitter...... 33 4.2 Kernun GUI...... 35 4.3 Kernun GUI...... 35 4.4 Kernun GUI...... 36

6.1 Pr˚ubˇehinstalace OS v bitech za sekundu...... 45 6.2 Pr˚ubˇehinstalace OS v paketech za sekundu...... 45 6.3 Pr˚ubˇehinstalace softwaru v bitech za sekundu...... 46 6.4 Pr˚ubˇehinstalace softwaru v paketech za sekundu...... 46 6.5 Pr˚ubˇehinstalace softwaru a OS v bitech za sekundu...... 47 6.6 Test pos´ılán´ıdat na intern´ımrozhran´ıv bitech za sekundu. . 48 6.7 Test pos´ılán´ıdat na intern´ımrozhran´ıv paketech za sekundu. 49 6.8 Test pos´ılán´ıdat na extern´ımrozhran´ıv bitech za sekundu. . 49 6.9 Test pos´ılán´ıdat na extern´ımrozhran´ıv paketech za sekundu. 50

8 Seznam tabulek

3.1 Parametry uvádˇenéjednotlivýmivýrobci...... 20

4.1 Provoz seˇrazenýpodle c´ılovéhoportu...... 31 4.2 Provoz seˇrazenýpodle protokolu...... 31

5.1 Statistika velikosti TCP paket˚u...... 40 5.2 Statistika velikosti UDP paket˚u...... 41 5.3 Statistika na základˇeprotokolu...... 41 5.4 Statistika na základˇec´ılovéhoportu...... 41

9 Kapitola 1

Uvod´

Nárokyna spolehlivost a bezpeˇcnostpoˇc´ıtaˇcových s´ıt´ıse v dneˇsn´ımsvˇetˇe neustálezvyˇsuj´ı.Podniky jsou na funkˇcnostipoˇc´ıtaˇcovés´ıtˇev´ıceˇciménˇe závisléa na základˇetoho poˇzaduj´ıurˇcitýstupeˇnzabezpeˇcen´ı.Ohroˇzeny jsou zejménakv˚uliobrovskému mnoˇzstv´ıvir˚u,kterých dennˇemnoho pˇribývá,a takéhackery, kteˇr´ımaj´ıza c´ılpoˇskodit dobréjménofirmy, pˇr´ıpadnˇeodcizit d˚uleˇzitáintern´ıdata a dokumenty. Jednou z moˇznost´ı,jak výraznˇeomezit toto riziko, je pouˇzit´ısystému na detekci, ˇciprevenci, s´ıt’ových útok˚u. C´ılemtétopráceje zmapovat, jakétechnicképarametry u tˇechto výrobk˚u uvád´ır˚uzn´ıvýrobci na trhu a jakéexistuj´ızp˚usoby jejich testován´ı,a na základˇetétoanalýzynavrhnout zp˚usob testován´ıtakových s´ıt’ových zaˇr´ızen´ı, a to zejménajejich propustnost a výkonnost. Vybranétesty budou na závˇer prakticky provedeny a z´ıskanévýsledkyshrnuty. Tato data usnadn´ıvýbˇer bezpeˇcnostn´ıhoˇreˇsen´ıpro danýstupeˇnvýkonnosti a bezpeˇcnostis´ıtˇe,na n´ıˇz bude pouˇz´ıváno. Prácitvoˇr´ısedm kapitol. Ve druhékapitole jsou bl´ıˇzepopsány systémy na detekci s´ıt’ových útok˚u,jejich vlastnosti a r˚uznézp˚usoby ochrany s´ıtˇe.Tˇret´ı kapitola analyzuje aktuáln´ısituaci na trhu, uvádˇenéparametry u zaˇr´ızen´ı jednotlivých výrobc˚ua popis jiˇzexistuj´ıc´ıch ˇreˇsen´ıpro testovánipropust- nosti a výkonnosti. Na základˇetˇechto informac´ıjsou zde navrhnuty jednot- livétesty a jejich výstupn´ıdata. V kapitole 4 je popsánsoftware, kterýje moˇznovyuˇz´ıtpro proveden´ıjednotlivých test˚ua moˇznostitˇechto nástroj˚u. Kapitola 5 se zabýváproblémemz´ıskán´ıs´ıt’ovéhoprovozu, kterýje pouˇzit k proveden´ınavrˇzených test˚ua takéjeho úpravou pro opakovanépouˇzit´ı. V ˇsestékapitole je popsánzp˚usobproveden´ıvýˇsenavrˇzených test˚ua jejich výsledky. Posledn´ıkapitola obsahuje shrnut´ıvýsledk˚ua návrhy pro pˇr´ıpadné pokraˇcován´ıv dalˇs´ıprácina toto téma.

10 KAPITOLA 1. UVOD´

1.1 Oficiáln´ızadán´ıpráce

C´ılemje vytvoˇritmetodiku a postupy vhodnépro ovˇeˇrován´ıvýkonu a propustnosti systém˚una detekci s´ıt’ových pr˚unik˚utak, aniˇzby byla vázanána výrobce jednoho systému. To celéideálnˇeza pomoci volnˇedostupných nástroj˚ua prostˇredk˚u.Po- psanépostupy by mˇelybýtodzkouˇseny na IDS Kernun.

11 Kapitola 2

Syst´emy na detekci s´ıt’ov´ych pr˚unik˚u

2.1 Co jsou ID(P)S

Systémna detekci s´ıt’ových útok˚u(IDS[3] – Intrusion Detection System) je zaˇr´ızen´ı(nebo aplikace), kterámonitoruje s´ıt’ a/nebo systém,vyhledává ˇskodlivéaktivity nebo poruˇsen´ıbezpeˇcnostn´ıch zásada vytváˇr´ızprávy, které je schopnépos´ılatsprávcovskéstanici nebo osobˇeodpovˇednéza bezpeˇcnostn´ı politiku s´ıtˇe.Detekce je proces monitorován´ıudálost´ıv systému poˇc´ıtaˇce nebo na s´ıti a jejich analýzaa hledán´ı znak˚uudálost´ı, kterémohou být poruˇsen´ımbezpeˇcnostn´ıch zásad,pˇr´ıpadnˇepˇr´ımouznámkou útoku. Systémna prevenci s´ıt’ových útok˚u(IPS[3] – Intrusion Prevention Sys- tem) provád´ınejen detekci, ale pokouˇs´ıse i o zastaven´ıdetekovaných útok˚u. Systémy na prevenci s´ıt’ových útok˚ujsou schopny na rozd´ılod IDS i pˇr´ımo reagovat na detekovanéhrozby pomoc´ı zablokován´ı spojen´ı z nebezpeˇcné IP adresy nebo zmˇenoubezpeˇcnostn´ıhonastaven´ı(napˇr´ıkladpˇrenastaven´ı firewallu tak, aby stroj, ze kteréhoje veden potenciáln´ıútok,byl po urˇcitou dobu v karanténˇe).

Tato prácese zamˇeˇr´ızejménana systémy na detekci s´ıt’ových pr˚unik˚u.

2.2 D˚uleˇzit´eterm´ıny

• False Positive – faleˇsnýpoplach. Tento term´ınoznaˇcujelegitimn´ıpro- voz, kterýje nesprávnˇeoznaˇcen jako útoknebo potenciáln´ıhrozba.

• Jitter – kol´ısán´ızpoˇzdˇen´ıpaket˚upˇripr˚uchodu s´ıt´ı(vznikánapˇr´ıklad na firewallech a IDS zaˇr´ızen´ıch).

12 KAPITOLA 2. SYSTEMY´ NA DETEKCI S´ITOVˇ YCH´ PRUNIK˚ U˚

2.3 Rozdˇelen´ıIDS

Systémy na detekci ˇciprevenci útok˚uje moˇznépodle nˇekterých svých parametr˚u,zp˚usobuprovádˇen´ıanalýzyprovozu ˇci m´ıstanasazen´ırozdˇelitnásle- duj´ıc´ımzp˚usobem[4].

2.3.1 Rozdˇelen´ıdle um´ıstˇen´ı S´ıt’ovéIDS Senzory v s´ıt’ových systémech jsou um´ıstˇeny na hranic´ıch s´ıtˇe,velmi ˇcasto v demilitarizovaných zónách. Tato zaˇr´ızen´ızachytávaj´ıveˇskerýprovoz, který proud´ıdo vnitˇrn´ıs´ıtˇe,analyzuj´ıjednotlivépakety a hledaj´ıˇskodlivádata. Mohou býtpˇripojeny pˇr´ımo na s´ıti, jak je vidˇetna obrázku2.1, kde ˇcervenézaˇr´ızen´ıoznaˇcujeIDS nebo IPS, a veˇskerádata jdouc´ıdo lokáln´ı s´ıtˇeproud´ıpˇres nˇej.

Obr´azek2.1: S´ıt’ov´eIDS.

Senzory mohou býttaképˇripojeny na hub, kterýautomaticky pakety pˇrichá- zej´ıc´ına jeden port pos´ılána vˇsechny ostatn´ı,nebo switch, na kterémje nastaven tzv. port mirroring. To znamená,ˇzekopie paket˚ujdouc´ıch na monito- rovanéporty (lze pˇr´ıpadnˇenastavit na celévirtuáln´ıLAN s´ıtˇe,VLAN) jsou pos´ılány zároveˇni na port, ke kterému je pˇripojeno IDS zaˇr´ızen´ı.Spoleˇcnost Cisco tuto moˇznostuvád´ıpod pojmem Switched Port Analyzer[5] (SPAN) a firma 3Com pouˇz´ıváterm´ınRoving Analysis Port. Na obrázku2.2[6] je port mirroring znázornˇengraficky.

13 KAPITOLA 2. SYSTEMY´ NA DETEKCI S´ITOVˇ YCH´ PRUNIK˚ U˚

Obr´azek2.2: Zapojen´ıpomoc´ıSPAN.

Tato moˇznostm˚uˇzeobnáˇsetriziko, pokud se podaˇr´ı útoˇcn´ıkovi dostat ke SPAN portu. Mˇelby tak k dispozici d˚uleˇzitéinformace o v´ıcepoˇc´ıtaˇc´ıch v lokáln´ıs´ıtik proveden´ıdalˇs´ıhoútoku.Mohl by takto pˇr´ımoodposlouchávat neˇsifrovanáhesla nebo dalˇs´ıd˚uleˇzitéinformace ze servisn´ıch protokol˚uniˇzˇs´ıch vrstev, napˇr´ıkladspanning tree.

HostitelskéIDS Hostitelskésystémy na detekci ˇciprevenci s´ıt’ových útok˚ujsou nainsta- lovány lokálnˇena poˇc´ıtaˇc´ıch pˇripojených do s´ıtˇe.To ˇcin´ılokáln´ıIDS v´ıce pˇrizp˚usobivˇejˇs´ımiv porovnán´ıse s´ıt’ovýmiIDS. Mohou býtnainstalovány na mnoho r˚uzných typ˚uzaˇr´ızen´ı– servery, stanice a pˇr´ıpadnˇei notebooky – a zohlednit zdroje a mnoˇzstv´ıinformac´ı,kteréod zaˇr´ızen´ıpoˇzadujeme.Je vhodnéje pouˇz´ıvat tehdy, pokud je potˇrebaochránitmnoho poˇc´ıtaˇc˚u,které cestuj´ımezi r˚uznýmis´ıtˇemi. Jsou zaloˇzeny na softwarovémagentovi, kterýbˇeˇz´ınenápadnˇena pozad´ı a sleduje veˇskerou aktivitu poˇc´ıtaˇce.Procház´ısystémovávolán´ı,logy, zmˇeny na systému soubor˚ua podobnˇe.

Jak je vidˇetna obrázku 2.3, hostitelskéIDS je nainstalovánona kaˇzdém z pˇripojených poˇc´ıtaˇc˚u.

Výhodou s´ıt’ových systém˚uje správa pouze malého poˇctu zaˇr´ızen´ı, kdy pˇrivhodnémrozm´ıstˇen´ımohou monitorovat rozsáhlous´ıt’. Takénijak neo- vlivˇnuj´ıprovoz s´ıtˇe.Nevýhodou je ovˇsemproblémse zpracován´ımvˇsech paket˚uv rozsáhlých s´ıt´ıch s velkýmprovozem a jiˇzzm´ınˇenépouˇzit´ıv pˇrep´ına- ných s´ıt´ıch, kde je nutno pouˇz´ıtport mirroring. Takénejsou schopny analyzovat ˇsifrovanýprovoz a nelze vˇetˇsinoujednoznaˇcnˇeurˇcit,zda byl zapoˇcatý

14 KAPITOLA 2. SYSTEMY´ NA DETEKCI S´ITOVˇ YCH´ PRUNIK˚ U˚

Obr´azek2.3: Hostitelsk´eIDS.

útokúspˇeˇsnˇeukonˇcen.Problémtakénastane, pokud mámev s´ıtipˇrenosné poˇc´ıtaˇcea uˇzivatel se pˇripoj´ıdo jinés´ıtˇe,kde bude jeho stroj infikován.Po- kud se potépˇripoj´ızpˇetdo s´ıtˇechránˇenépomoc´ıs´ıt’ovéhoIDS zapojeného pˇr´ımov s´ıti, m˚uˇzenakazit i ostatn´ıstroje, protoˇzelokáln´ıprovoz skrze toto IDS nemus´ıprocházet. Hostitelskésystémy maj´ıvýhodu v detekci útok˚uvedených pˇresˇsifrovaný kanál,útoklze detekovat napˇr´ıkladanalýzoulog˚u.Lze tedy odhalit i útoky, kterés´ıt’ovéIDS nepozná.Nevýhodou je naopak sloˇzitáadministrace, proto- ˇzekaˇzdýsystémmus´ım´ıtsvoji vlastn´ıkonfiguraci a takém˚uˇzebýtnapaden v rámciútokuna tento systém.U hostitelských systém˚uale naopak odpadá probléms pˇresunempracovn´ıch stanic, protoˇzejsou chránˇenélokálnˇe. S´ıt’ovéa hostitelskésystémy na detekci s´ıt’ových útok˚uvˇsakspolu mohou spolupracovat. Je tedy moˇznévytvoˇritkomplexn´ısystém,kterýkombinuje oba typy, m´ıtchránˇenoucelou s´ıt’ nezbytnˇemnoha s´ıt’ovýmiIDS a jednot- livéklienty lokáln´ımiIDS a ty nakonfigurovat napˇr´ıkladpouze pro ochranu pˇredútokyna databáze,kdyˇzbude nainstalovánna databázovémserveru. Spojuj´ıse zde výhody obou typ˚u,problémemvˇsaknadález˚ustávápomˇernˇe obt´ıˇznˇejˇs´ınasazen´ıa správa.

Dálev tétoprácibudeme uvaˇzovat pouze s´ıt’ovésystémy na detekci s´ıt’ových útok˚u.

15 KAPITOLA 2. SYSTEMY´ NA DETEKCI S´ITOVˇ YCH´ PRUNIK˚ U˚

2.3.2 Rozdˇelen´ıdle principu detekce Porovnáván´ıvzor˚u Detekce útok˚ua ˇskodlivéhoprovozu se provád´ına základˇesrovnán´ıs da- tabáz´ıvzor˚u.Vzor, nebo téˇzpravidlo ˇcisignatura, odpov´ıdásledu událost´ı, kteréjsou typicképro naruˇsen´ısystému nebo útok,kterýje známý.Tyto vzory mohou býtvytváˇreny administrátorya definovány za pomoci koneˇc- ných automat˚unebo pravdˇepodobnostn´ıch model˚u. Výhodou je existence vzor˚upro znaˇcnouˇcástznámých útok˚ua moˇznost jejich optimalizace. Je ovˇsemsnadnétakovýsenzor obej´ıt,pokud bude útok veden zp˚usobem, jenˇznen´ıv signaturách obsaˇzen.

Detekce statistickéanomálie Systémy zaloˇzenéna detekci anomáli´ıv provozu dlouhodobˇesleduj´ıprovoz na s´ıtia tento dálepovaˇzuj´ıza normáln´ıchován´ı.V pˇr´ıpadˇe,kdy je pˇredem danáodchylka od tohoto stavu, je toto jednán´ıvyhodnoceno jako moˇzný útok.Napˇr´ıkladse dvojnásobnˇezvýˇs´ıpoˇcetDNS dotaz˚u. Pˇrednost´ıtohoto principu je detekce nových ˇciodliˇsnˇeprovedených zná- mých útok˚u,dan´ıza to je ale velkémnoˇzstv´ıfaleˇsných poplach˚u,jelikoˇzse uˇzivatelémohou chovat v nˇekterých chv´ıl´ıch jinak neˇzobvykle. Instalace se takéneobejde bez dlouhéhoúvodn´ıhoprovozu, neˇzsystémnasb´ırádostatek dat, a pro korektn´ıfunkˇcnostje d˚uleˇzitézajistit, aby tento provoz pokud moˇznoneobsahoval ˇzádnéútoky.

Korelaˇcn´ı Korelaˇcn´ıIDS funguj´ına základˇevyhledáván´ıspojitost´ına v´ıcem´ıstech. Pokud je detekovánútoknapˇr´ıkladna Microsoft IIS (Internet Information Services) web server a na danémstroji je nainstalovánoperaˇcn´ısystémLinux s bˇeˇz´ıc´ı sluˇzbou apache server, nemus´ı býthostitelskýmIDS generováno ˇzádnévarován´ı. Výhodou je malápravdˇepodobnost faleˇsných poplach˚uz d˚uvodu kombi- nace jev˚u.

2.3.3 Rozdˇelen´ıdle okamˇzikuvyhodnocován´ı V reálnémˇcase Systémy pracuj´ıc´ı v reálnémˇcasesb´ıraj´ı, zpracovávaj´ı a vyhodnocuj´ı informace pr˚ubˇeˇznˇe.Jejich výhodou je velmi rychlá,bezprostˇredn´ıreakce a rychlejˇs´ızotaven´ıse z útoku,ale pokud je zaˇr´ızen´ıpˇripojeno do vˇetˇs´ıs´ıtˇe, nebo vznikne nárazovˇevelkémnoˇzstv´ıprovozu, je tento proces výkonnostnˇe nároˇcnýa stáváse tak ménˇespolehlivým.Nˇekteréútokyjsou viditelnéaˇz s dostateˇcnýmmnoˇzstv´ımnasb´ıraných dat a nemus´ıtak býtzaznamenány.

16 KAPITOLA 2. SYSTEMY´ NA DETEKCI S´ITOVˇ YCH´ PRUNIK˚ U˚

Dávkovˇeorientovanýpˇr´ıstup Informace se sb´ıraj´ıpravidelnˇepo urˇcitémintervalu a následnˇese vyhodnocuj´ı.Hod´ıse sp´ıˇsepro málorizikovéprostˇred´ı,urˇcitýtyp provozu nebo mohou býtpouˇzity jako doplnˇekk ostatn´ımformámzabezpeˇcen´ı. Mezi výhody patˇr´ımalézat´ıˇzen´ısystému, d´ıkydelˇs´ımu sledovanému obdob´ılze odhalit dlouhodobýpozvolnýútokna stejnýc´ıla takéje v pˇr´ıpadˇe nutnosti moˇznámanuáln´ıanalýza. Naopak ovˇsemnen´ımoˇznáokamˇzitáre- akce a je d˚uleˇzitém´ıtmnoho m´ıstana ukládán´ıvelkých objem˚udat. Reˇsen´ımˇ tohoto problému mohou býtnapˇr´ıkladvhodnéretenˇcn´ıpolitiky, zejménaro- tace log˚unebo komprese.

2.3.4 Rozdˇelen´ına základˇeaktivity Pasivn´ıIDS Systémna detekci s´ıt’ových útok˚uje pasivn´ısystém. To znamená,ˇzepokud je potenciáln´ıriziko detekováno,zap´ıˇse se tato událostdo logu a m˚uˇzese poslat upozornˇen´ıadministrátorovi.

Aktivn´ıIDS Systémy na prevenci s´ıt’ových útok˚ujsou aktivn´ı systémy. Reaguj´ı tedy nˇejakýmzp˚usobem na ˇskodlivou aktivitu. Nebezpeˇcnáudálostse zaeviduje a podle nastaven´ısystému je zdrojováIP adresa zablokovánapo urˇcitoudobu, pˇr´ıpadnˇese m˚uˇze zmˇenitnastaven´ıfirewallu tak, aby se tato IP adresa do budoucna nemohla dostat do lokáln´ıs´ıtˇe.

Protoˇzejsou tato zaˇr´ızen´ıum´ıstˇenana hranic´ıch lokáln´ıch s´ıt´ı,jak lze vidˇet na obrázku2.1, potˇrebujeme, aby byla dostateˇcnˇerychlá.Veˇskerýprovoz procház´ıt´ımto bodem a jak se ˇr´ıká– ”Retˇezjeˇ tak slabý,jako jeho nej- slabˇs´ıˇclánek”.Jinak ˇreˇceno,m˚uˇzemem´ıthodnˇerychlépˇripojen´ıdo internetu, ale pokud budeme m´ıtrelativnˇepomaléIDS, tak se bud’ pˇripojen´ı zpomal´ına maximáln´ırychlost IDS, nebo IDS nebude ˇcástprovozu kon- trolovat, pˇr´ıpadnˇenebude inspekce procházej´ıc´ıch dat tak d˚ukladná.Ani jedna z moˇznost´ınen´ıvhodná,pokud chceme zachovat jak rychlost, tak i bezpeˇcnosts´ıtˇe. Jestliˇzezákazn´ıkpoˇzadujetakovývýrobek, potˇrebujevˇedˇet,jak výkonné kterékonkrétn´ızaˇr´ızen´ıje. A nelze se spokojit pouze s parametrem propustnost bez dalˇs´ıch informac´ı,ale je potˇrebauvaˇzovat i o nastaven´ı,kterébude splˇnovat minimálnˇezákladn´ıbezpeˇcnostn´ıpoˇzadavky. Tyto poˇzadavky se budou r˚uznˇeliˇsitna základˇepotˇrebjednotlivých s´ıt´ı,ale nˇekterébezpeˇcnost- n´ızásadymohou býtspoleˇcné.Napˇr´ıkladkontrola, zda-li zdrojovéIP adresy odchoz´ıhoprovozu spadaj´ıdo rozsahu vnitˇrn´ıs´ıtˇe.

17 KAPITOLA 2. SYSTEMY´ NA DETEKCI S´ITOVˇ YCH´ PRUNIK˚ U˚

Pokud si nˇejakéIDS poˇr´ıd´ıme, tak od nˇejˇcekáme,ˇzenebude pouze pˇrepos´ılatpakety, ale bude i hl´ıdata detekovat potenciáln´ıhrozby. Pokud bychom napˇr´ıkladmˇeli pˇripojen´ıdo internetu s´ıt´ıo rychlosti 1 Gbit, tak námteoreticky staˇc´ıIDS s propustnost´ı1 Gbit. Ale jelikoˇzpoˇzadujemei dodateˇcnoureˇzii,tedy sledován´ıprovozu a detekován´ıhrozeb, a u nˇekterých výrobk˚uudávanápropustnost neodpov´ıdápropustnosti s veˇskerou inspekc´ı dat, tak se propustnost sn´ıˇz´ıa jsme t´ımpádemlimitovánit´ımto zaˇr´ızen´ım. A nejen, ˇzemámepomalejˇs´ıpˇripojen´ı,ale i neustálévysokévyt´ıˇzen´ıtohoto zaˇr´ızen´ım˚uˇzesn´ıˇzitjeho ˇzivotnost.

18 Kapitola 3

Parametry v´yrobk˚uIDS a existuj´ıc´ızp˚usoby testov´an´ı

Aby tato prácemohla podat specifiˇctˇejˇs´ıtechnickádata o zaˇr´ızen´ıch IDS, je potˇrebanejdˇr´ıve analyzovat, jaképarametry uvádˇej´ıo svých výrobc´ıch r˚uznéspoleˇcnosti,kteréje vyráb´ıˇciprodávaj´ı.Na základˇetétoanalýzybude navrhnuta forma výsledk˚ua seznam doporuˇcených parametr˚u,kteréby bylo dobréuvádˇetu tˇechto zaˇr´ızen´ı.V analýzebudou taképopsány jiˇzprovedené experimenty pˇri testován´ıIDS zaˇr´ızen´ıa doporuˇcen´ıpro pˇr´ısluˇsnétesty.

3.1 Pˇrehledparametr˚udle v´yrobc˚u

Pokud se ponoˇr´ımedo hlubin internetu a zaˇcnemehledat parametry systém˚u na detekci s´ıt’ových útok˚u,zjist´ıme,ˇzemaj´ıhezky udˇelanéprezentace s úmys- lem zaujmout potenciáln´ıhokupce. Ale s technickýmiparametry uˇzto tak slavnénen´ı.Informace uvedenén´ıˇzebyly nalezeny na internetových strán- kách nejvýznamnˇejˇs´ıch výrobc˚uIDS. A to jak celosvˇetovˇeznámých (Check Point[7], Cisco[8], Sidewinder[9]), tak dobˇrese prodávaj´ıc´ıch u násv Ceskéˇ republice (Astaro[10], Fortinet[11], Juniper[12] a Trusted Network Solutions (TNS)[13]). Výslednéparametry jsou vidˇetv tabulce 3.1.

V popisu výrobk˚uje kladen d˚urazpˇredevˇs´ımna zaujmut´ızákazn´ıka a je podánsp´ıˇsejako reklama, neˇzseznam d˚uleˇzitých technických dat. Z tabulky lze vypozorovat, ˇzenejv´ıceshod je v pˇr´ıpadˇeparametru poˇcetsouˇcasných ” spojen´ı“, konkrétnˇeu 6 výrobc˚u.Dálejsou zde po dvou výskytech parametry propustnost firewallu“, propustnost IPS“ a propustnost IPsec VPN“. ” ” ” Zbyléparametry se uˇzvyskytuj´ıpouze po jednom.

19 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJÍCÍ ZPUSOBY˚ TESTOVAN´ Í √ TNS √ √ Juniper √ √ √ √ √ Fortigate √ √ √ √ Astaro √ √ √ √ Sidewinder √ √ √ √ Cisco √ √ √ √ √ Check point Tabulka 3.1: Parametry uvádˇenéjednotlivýmivýrobci. Parametr Propustnost IPS PoˇcetVLAN s´ıt´ı Propustnost VPN PoˇcetVPN tunel˚u Propustnost firewallu Maximáln´ıpropustnost octmi˚z hodinu Poˇcetemail˚uza Propustnost IPsec VPN octoˇanyhspojen´ı Poˇcetsouˇcasných Propustnost firewallu a IDS Propustnost paketovéhofiltru rpsns piac´h filtru Propustnost aplikaˇcn´ıho ai´l´poutotantiviru Maximáln´ıpropustnost Velikost a rychlost pˇripojen´ıs´ıtˇe ´knotochranyVýkonnost proti útok˚um Propustnost firewallu, VPN a IPS octˇioeć pˇresIPsec VPN Poˇcetpˇripojených

20 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJÍCÍ ZPUSOBY˚ TESTOVAN´ Í

3.2 Existuj´ıc´ıˇreˇsen´ı

Dosud nebyla navrˇzenaˇzádnáobecnámetodika pro testován´ısystém˚una detekci s´ıt’ových zaˇr´ızen´ı.Odpovˇed’, proˇctomu tak je, je prostá.IDS jsou pˇr´ıliˇs komplexn´ıa sloˇzitázaˇr´ızen´ı,a je tedy velmi obt´ıˇznénavrhnout sadu test˚u tak, aby mohla býtpouˇzitajednak opakovanˇea jednak pro jakékoliv nastaven´ıtestovanéhozaˇr´ızen´ı.Abychom mohli dvˇeˇciv´ıcezaˇr´ızen´ıvzájemnˇepo- rovnávat, je nezbytné,aby test byl pro vˇsechny zaˇr´ızen´ıproveden za stejných podm´ınek. Pouˇzit´ıjiˇzexistuj´ıc´ıch metod pro testován´ırouter˚uˇciswitch˚unen´ıvhod- né,jelikoˇzroutery analyzuj´ıpakety pouze do tˇret´ıs´ıt’ovévrstvy podle ISO/ OSI modelu[23], kdeˇztoIDS pˇridetekci útok˚umus´ıanalyzovat pakety mnohem v´ıcedo hloubky.

Pro r˚uznéskupiny lid´ıbude i r˚uznétestován´ıa budou téˇzpoˇzadovat odliˇsný výstuptˇechto test˚u. Základn´ıotázkyjsou zda zaˇr´ızen´ıfunguje a jak dobˇre funguje[15]. Pro vývojovépracovn´ıkyje vhodném´ıtobjektivn´ıodpovˇedina otázku,jak dobˇresystémfunguje, u zákazn´ık˚unaopak subjektivn´ı– ˇcasto specifickéa bez moˇznostiznovuproveden´ı,obzvláˇstˇepˇritestován´ına vlastn´ı s´ıti. Objektivn´ıˇreˇsen´ı by mˇelobýtzaloˇzenona dobˇrezdokumentovaném a otevˇrenémstandardu a takéopakovatelné.U subjektivn´ıho hodnocen´ı vˇetˇsinoustaˇc´ı odpovˇedˇet na otázku,kteréz tˇechto zaˇr´ızen´ı je lepˇs´ı, nemus´ıtedy býtnutnˇeopakovatelné.Bude slouˇzithlavnˇepˇrivýbˇeruvhodného zaˇr´ızen´ı.

3.3 Deﬁnice typu testov´an´ı

Zjistit, co pˇresnˇepotˇrebujemetestovat a jakévýstupy z´ıskat, je sloˇzité[16]. Napˇr´ıkladpˇristavbˇemost˚uje nutnézajistit jeho integritu. Takovýtest by mohl zahrnovat oznaˇcen´ıslabých m´ıst,oznaˇcen´ım´ıst, na kteráje vyv´ıjen nejvˇetˇs´ıtlak a takéco se nejsp´ıˇsem˚uˇzepokazit pˇripˇret´ıˇzen´ımostu. Tytéˇz pˇredpoklady bychom mohli pouˇz´ıt i u testován´ıIDS. Napˇr´ıkladu s´ıt’ových IDS bude nejv´ıcevyt´ıˇzenýproces analýzyprotokol˚unebo srovnáván´ısigna- tur. Poˇc´ıtaˇcovékomponenty maj´ıtakéurˇcitáomezen´ına výkon. Pouze daný poˇcetcykl˚uCPU lze provéstza jednotku ˇcasu,je omezeno m´ıstopro ukládán´ı zdrojových kód˚u,pouze urˇcitýpoˇcetcykl˚uzvládnoujednotlivéˇradiˇce.Tes- tovanýsystémse pˇribl´ıˇz´ısvému limitu vˇzdy, kdyˇzjakýkoliv z tˇechto zdroj˚u bude pracovat na svémaximum. Bylo by tedy dobré, aby metodiky na tes- tován´ıIDS braly v potaz poloˇzkyjako velikost pamˇeti,ˇs´ıˇrka pásmaˇradiˇce pamˇeti,s´ıt’ovékarty a úloˇzných zaˇr´ızen´ı,zpoˇzdˇen´ıpamˇetia rychlost CPU.

21 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJÍCÍ ZPUSOBY˚ TESTOVAN´ Í

3.4 Kvantitativnˇemˇeˇriteln´echarakteristiky IDS

Výsledkykvantitativn´ıch[2] mˇeˇren´ıby ocenilo mnoho potenciáln´ıch zákazn´ı- k˚u.Manaˇzer˚umby se takováinformace hodila pˇrivýbˇerunových zaˇr´ızen´ı, nebot’ se v tuto chv´ılimus´ıˇr´ıdit zejménamarketingovýmimateriálydoda- vatel˚u.Bezpeˇcnostn´ıanalytici by zase naopak ocenili informace týkaj´ıc´ıse úspˇeˇsnostianalýzyprovozu. Pod´ıvámese tedy na seznam moˇzných mˇeˇritel- ných charakteristik IDS.

3.4.1 Pokryt´ıhrozeb Pod t´ımto term´ınem si m˚uˇzemepˇredstavit, kolik útok˚uje danézaˇr´ızen´ı schopno detekovat a upozornit tak na moˇznéhrozby. Systémy zaloˇzenéna porovnáván´ıvzor˚ujsou schopny poznat pouze útoky, kterémaj´ıuvedené v databázivzor˚u,a taképokud jsou provedeny stejným,ˇcivelmi podobným zp˚usobem. U zaˇr´ızen´ızaloˇzených na detekci anomáli´ıbude identifikace útoku závisetna prvotn´ımprovozu, v˚uˇcikterému bude porovnávat aktuáln´ıdata. Dalˇs´ımproblémemje takésituace, kdy urˇcitýútokohroˇzujeprogram ˇcioperaˇcn´ısystémpouze v jeho konkrétn´ıverzi. Bylo by tedy nutném´ıt k dispozici vˇsechny takovéútoky. A na testovac´ıs´ıtim´ıttakésystémy, na kterélze tyto útokyvést,aby je IDS mohlo rozpoznat. Dáleje moˇznénˇekterý z útok˚uprovéstza pomoci kompromitován´ıIDS (IDS evasion techniques). Techniky kompromitace IDS spoˇc´ıvaj´ıv úpravách útok˚uvedouc´ıch k ne- moˇznostidetekce takovéhoútoku. Utoky´ mohou býtrozdˇeleny do 3 odliˇsných skupin[24]: vloˇzen´ı(insertion), vyhnut´ı(evasion) a odm´ıtnut´ısluˇzby, DoS (Denial of Service). C´ılemútok˚uje zajistit, aby IDS a poˇc´ıtaˇcezpracovávaly rozd´ılnádata nebo stejnádata rozd´ılnýmzp˚usobem. Utoˇcn´ık´ tak m˚uˇze provéstútok, aniˇzby byl detekován. Technika prvn´ıhotypu útokuspoˇc´ıváv pouˇzit´ıpaketu, kterýje akcep- továnIDS ale nikoliv koncovýmzaˇr´ızen´ım.U vyhýbán´ıse jednáo pˇresný opak. Pakety jsou relevantn´ıpouze pro koncovázaˇr´ızen´ıa IDS nen´ıschopno takovýprovoz detekovat. DoS útokymaj´ıza c´ılzahltit IDS zaˇr´ızen´ımnoha poˇzadavky a vyˇradit ho tak ˇcásteˇcnˇenebo úplnˇez provozu. Pro r˚uznélidi je i odliˇsnád˚uleˇzitostdetekce urˇcitých útok˚u.Napˇr´ıklad provozovatele internetovéhoobchodu bude zaj´ımatdetekován´ı(D)DoS, (Dis- tributed) Denial of Service, útok˚umaj´ıc´ıch za c´ıl zp˚usoben´ınedostupnosti internetových stránek.

3.4.2 Pravdˇepodobnost faleˇsných poplach˚u Toto mˇeˇren´ıudávápomˇerodm´ıtnutéholegitimn´ıhoprovozu (False Positive). U s´ıt’ových systému na detekci s´ıt’ových útok˚uto m˚uˇzebýtzp˚usobeno ne- dostateˇcnˇepˇresnýmisignaturami (upozornˇen´ıbude vyvolánokdykoliv pˇri komunikaci na vysoképorty, kterése pouˇz´ıvaj´ıpˇribackdoor útoc´ıch) nebo

22 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJÍCÍ ZPUSOBY˚ TESTOVAN´ Í pˇripouˇzit´ınástroj˚upro správu s´ıtˇe.Toto mˇeˇren´ıje sloˇzité,protoˇzekaˇzdé IDS m˚uˇze m´ıtjinýpomˇerfaleˇsných poplach˚uv r˚uznéms´ıt’ovémprostˇred´ı.A neexistuje nic jako bˇeˇzná“ s´ıt’. Ani se nepovede m´ıtdatabázivˇsech moˇzných ” typ˚uprovozu, kterémohou v s´ıt´ıch v produkˇcn´ımprostˇred´ıvytvoˇritfaleˇsný poplach.

3.4.3 Pravdˇepodobnost detekce Tato hodnota udávám´ıruúspˇeˇsnˇedetekovaných útok˚uv konkrétn´ımpros- tˇred´ı.Detekce útokuvelmi závis´ına sadˇeútok˚upouˇzitých bˇehemtestu. IDS lze takénastavit tak, aby detekovalo mnoho útok˚uza cenu mnoha faleˇsných poplach˚u,nebo naopak minimalizovat faleˇsnépoplachy a t´ım ale i sn´ıˇzit pravdˇepodobnost detekce útok˚u.A pˇripouˇzit´ıtechniky na kompromitován´ı IDS se tato hodnota takévelmi zmˇen´ı.

3.4.4 Odolnost proti útok˚umvedenýmna IDS T´ımto mˇeˇren´ımukáˇzeme,jak odolnéjsou IDS proti útoˇcn´ıkovýmpokus˚um k omezen´ıoperac´ına detekci útok˚u.Tento útokm˚uˇzem´ıtv´ıceforem:

1. Poslán´ıvelkéhomnoˇzstv´ılegitimn´ıho provozu pˇresahuj´ıc´ıhokapacity napadenéhoIDS za úˇcelemzahlcen´ı.IDS potom m˚uˇzezahazovat pakety a nebude schopnédetekovat útoky.

2. Poslán´ılegitimn´ıch paket˚u,kteréjsou upraveny tak, aby odpov´ıdaly signaturámuloˇzených v IDS. T´ımto zahlt´ımeosobu, kterámus´ıkon- trolovat pˇr´ıchoz´ı upozornˇen´ı, a do tohoto provozu vloˇzitopravdový útok.

3. Poslán´ıpaket˚u,kterézneuˇzij´ıbezpeˇcnost´ıchyby algoritmu pro detekci útok˚u.Tento útokbude úspˇeˇsnýpouze tehdy, pokud IDS obsahuje známoubezpeˇcnostn´ı chybu, kterou m˚uˇzeútoˇcn´ık zneuˇz´ıt. Naˇstˇest´ı velmi máloIDS máznámébezpeˇcnostn´ı chyby, jakou je napˇr´ıklad pˇreteˇcen´ızásobn´ıku. Jedn´ımz málaje snort, softwarovýhostitelskýsystémna detekci útok˚u, jenˇzmˇelve verz´ıch 1.8 (vydanáv ˇcervnu roku 2001) aˇz1.9 bezpeˇcnostn´ı d´ıru v kódudetekuj´ıc´ım tzv. útokfragmentace RPC (Remote Pro- cedure Call), kterýumoˇzˇnujekompromitaci IDS. Jednalo se o zrani- telnost ve formˇepˇreteˇcen´ızásobn´ıku[25].

3.4.5 Schopnost zvládnut´ıvelkéhomnoˇzstv´ıprovozu Toto mˇeˇren´ıukáˇze,jak velkémnoˇzstv´ıdat je schopnéIDS zvládnoutzpra- covat a zda-li bude plnˇefunkˇcn´ı.Vˇetˇsinas´ıt’ových IDS zaˇcnezahazovat pakety a t´ımvznikne moˇznostprobˇehnut´ıútokubez povˇsimnut´ı.V dalˇs´ıfázi

23 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJÍCÍ ZPUSOBY˚ TESTOVAN´ Í pravdˇepodobnˇepˇrestaneIDS pracovat úplnˇe.Je to podobnémˇeˇren´ıodol- nosti proti DoS útok˚um.

3.4.6 Schopnost detekovat novéútoky T´ımto mˇeˇren´ımm˚uˇzemeukázat,jak IDS dokáˇzedetekovat novéútoky, které se pˇredt´ım nevyskytly. Mˇeˇren´ı je uˇziteˇcnépouze pro systémy na detekci na základˇeanomáli´ı,jelikoˇzv databázisignatur tento útoknenalezneme. U systém˚uzaloˇzených na detekci anomáli´ı je ovˇsemmnohem vyˇsˇs´ı m´ıra faleˇsných poplach˚u.

3.4.7 Dalˇs´ımˇeˇren´ı Mezi dalˇs´ımˇeˇren´ıbychom mohli zaˇraditnapˇr´ıkladsnadnost instalace, nastaven´ıa správyIDS, dostupnost a kvalitu podpory atd. Tato mˇeˇren´ınespadaj´ı do výkonnosti IDS, ale v komerˇcn´ımprostˇred´ım by mohla býthodnotnou informac´ı.

3.5 Testy IDS

Snahy o testován´ıIDS se navzájemvelmi liˇs´ıv rozsahu, metodologii i zamˇeˇre- n´ı.Testy systém˚uzaloˇzených na detekci anomáli´ımohou býtzaloˇzeny na speciálnˇenavrˇzených útoc´ıch, u systém˚una základˇesignatur m˚uˇzebýtzkou- ˇsenhlavnˇevýkon a správnáfunkˇcnostpˇri zat´ıˇzen´ıvelkýmmnoˇzstv´ımdat. S´ıt’ovýprovoz byl vytvoˇrenbud’ pouˇzit´ımreálnéhoprovozu, kterýse pˇrepos´ı- lal na s´ıt’ obsahuj´ıc´ıtestovanézaˇr´ızen´ı,nebo generátoremprovozu. Jelikoˇzani projekt LARIAT[17] (Lincoln Adaptable Real-time Infor- mation Assurance Test-bed) a ani projekt organizace DARPA[18] (Defense Advanced Research Projects Agency) nejsou veˇrejnˇedostupné,nejsou k dispozici ˇzádnéstandardn´ı metodiky pro testován´ı. K testován´ı je vhodné pouˇz´ıt kompletn´ıprovoz“[1], a toho je velmi tˇeˇzkédosáhnout.Pˇrivytváˇren´ı ” umˇeléhoprovozu se námnepodaˇr´ı nasimulovat reálnous´ıt’, ale zahlcen´ı IDS zaˇr´ızen´ımnoha bezvýznamnýmipakety m˚uˇzeukázatlimity napˇr´ıklad s´ıt’ovékarty nebo operaˇcn´ıhosystému. U vyuˇzit´ıreálnéhoprovozu se obje- vuj´ıbezpeˇcnostn´ıproblémy – obsahuje emaily, hesla a dalˇs´ıd˚uleˇzitéinfor- mace, kteréby nemˇelybýtveˇrejnˇepˇr´ıstupné.Nelze tedy takovádata pouˇz´ıt napˇr´ıkladve volnˇedostupnésadˇetest˚u.

V dalˇs´ı ˇcástitétokapitoly budou popsány testy provedenéMIT Lincoln Laboratory a spoleˇcnost´ıNSS Group[19].

3.5.1 Obecnámetodika Obecnýpˇr´ıstup[14]pro testován´ıIDS by mohl vypadat nˇejaktakto:

24 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJÍCÍ ZPUSOBY˚ TESTOVAN´ Í

• Vytvoˇren´ıa výbˇerprovozu a testovac´ıch skript˚u(s útokynebo bez útok˚u).

• Um´ıstˇen´ıIDS do testovac´ıs´ıtˇe.

• Zprovoznˇen´ıIDS a otestov´an´ızaˇr´ızen´ıbez nastaven´ıpravidel.

• Testován´ıs r˚uznýmnastaven´ımsystému a pravidel.

• AnalýzavýstupuIDS a zpracován´ıvýsledk˚u.

3.5.2 MIT Lincoln Laboratory (MIT/LL) Projekt MIT/LL byl sponzorovánspoleˇcnost´ıDARPA a zamˇeˇrilse na aktuál- nˇevyv´ıjenáIDS. Byl proveden v roce 1998 a 1999. Pouˇzitétestovac´ıprostˇred´ı generovalo provoz o velikosti stovek uˇzivatel˚ua tis´ıc˚upoˇc´ıtaˇc˚ua bylo pro- vedeno v´ıceneˇz200 instanc´ı58 typ˚uútok˚u.Zamˇeˇren´ıbylo pˇreváˇznˇena de- tekován´ınových útok˚u.Automatickéútokybyly provedeny proti tˇremUNI- Xovýmstroj˚um(SunOS, Solaris, Linux), poˇc´ıtaˇc˚ums operaˇcn´ımsystémem Windows NT a s´ıt’ obsahovala takéroutery. Do výsledk˚ubyly zahrnuty hodnoty pravdˇepodobnosti detekce útok˚ua m´ırafaleˇsných poplach˚una v´ıceneˇz 18 IDS. Utok´ byl povaˇzovánza detekovaný,pokud bylo vytvoˇrenoupozornˇen´ıpro poˇc´ıtaˇc,na kterýbyl útoksmˇerovaný.Výsledkem bylo zjiˇstˇen´ı,ˇzenejlepˇs´ı zabezpeˇcen´ıs´ıtˇeje z´ıskáno,pokud jsou pouˇzity jak s´ıt’ové,tak hostitelské systémy na detekci s´ıt’ových útok˚u. Byl vytvoˇrenprovoz, kterýobsahoval týdny normáln´ıhos´ıt’ovéhoprovozu a stovky dokumentovaných a popsaných útok˚u.Tato sada byla napˇr´ıklad pouˇzitaspoleˇcnost´ıAnzen Computing na porovnán´ı5 komerˇcn´ıch IDS. Po- stupnˇebylo pˇridávánov´ıceútok˚ua bylo navrhnuto rozˇs´ıˇren´ıo detailnˇejˇs´ı analýzuprovozu z d˚uvodu faleˇsných poplach˚ua nedetekovaných útok˚u.

3.5.3 NSS Group SpoleˇcnostNSS Group provádˇelatesty v letech 2000 a 2001. V roce 2001 bylo otestováno15 komerˇcn´ıch IDS a snort. Výsledkytétozprávyobsahuj´ı detailn´ıinformace na kaˇzdétestovanéIDS – jeho architekturu a snadnost instalace a konfigurace. Utoky´ byly provedeny pomoc´ısady s bud’ 18 nebo 66 bˇeˇznˇedostupnýmibezpeˇcnostn´ımizranitelnostmi vˇcetnˇeskenován´ıport˚u, (D)DoS útok˚u,trojských kon´ı, útok˚una webovéstránky, protokoly FTP, SMTP, POP3 a ICMP. Utoky´ byly povaˇzovány za detekovanépouze pokud byly nahláˇseny v co nejpˇresnˇejˇs´ıvariantˇe.Detekce útok˚ubyla mˇeˇrenana 100 Mbit s´ıtibez provozu (testuje se pouze za pomoci generovaných útok˚u), s malými(64 bajt˚u),pr˚umˇernými(cca. 550 bajt˚u)a velkými(1514 bajt˚u) pakety, kterýmibyla ˇs´ıˇrka pásmas´ıtˇezat´ıˇzenana 0 %, 25 %, 50 %, 75 % a 100 %. Nav´ıcpro nˇekolik útok˚ubyla pouˇzitatechnika kompromitace IDS

25 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJÍCÍ ZPUSOBY˚ TESTOVAN´ Í pomoc´ınástroje whisker“[20]. Byly taképouˇzity nástroje stick“ a snot“ ” ” ” na generován´ıpaket˚uzp˚usobuj´ıc´ıch faleˇsnépoplachy. Tyto dva nástroje jiˇz nejsou v souˇcasnédobˇedostupné. Bez provozu byla pravdˇepodobnost detekce útok˚unad 80 % u vˇsech zaˇr´ızen´ıs výjimkou dvou. Se zat´ıˇzen´ıms´ıtˇetyto hodnoty pro nˇekterésystémy rapidnˇeklesaly. Vˇetˇsinasystém˚ubyla odolnáproti technikámkompromitace IDS a takénereagovaly na pakety, kterémˇelyvyvolat faleˇsnépoplachy.

3.6 Probl´emy pˇritestov´an´ı

3.6.1 Problémsbˇeruútok˚ua softwaru Jedn´ımz problém˚uv tétooblasti je sbˇermoˇzných útok˚ua taképrogram˚u,na nˇeˇzjsou tyto útokym´ıˇreny. I kdyˇzje vˇetˇsinatˇechto skript˚udostupnána internetu, nalezen´ıa vytvoˇren´ıtakovésady je ˇcasovˇevelmi nároˇcné.U kaˇzdého je nutnézjistit jak se chová,jakézanechávástopy v systému a zautomatizo- vat jej. V jiˇzexistuj´ıc´ıch sadách test˚uje problémemjejich zamˇeˇren´ı,nˇekteré jsou zamˇeˇrenésp´ıˇsena skenovan´ı,jinénaopak na odcizen´ıdat.

3.6.2 Rozd´ılnépoˇzadavky na testován´ır˚uzných typ˚uIDS Je témˇeˇrnemoˇznépouˇz´ıtstejnétesty jak na IDS na základˇepouˇzit´ısig- natur, tak i na IDS zaloˇzenéna detekci anomáli´ıv provozu. IDS zaloˇzené na odchylkách v provozu potˇrebuj´ıke svému fungován´ıkratˇs´ıˇcidelˇs´ıdobu na nauˇcen´ınormáln´ıhoprovozu. Pokud ovˇsemtento provoz bude obsaho- vat jiˇznˇejakýútok,nebude pozdˇejirozpoznán.Mohou se téˇznauˇcittˇeˇzko odhadnutelnévlastnosti provozu, jako je velikost okna paketu, porty, TCP pˇr´ıznakynebo délkyspojen´ı.To vede k velmi dobrým výsledk˚umpˇripouˇzit´ı v testovac´ımprostˇred´ı. Testován´ıIDS na základˇesignatur pˇredstavuje takéjistéproblémy. Kaˇzdý z tˇechto systém˚uje schopen detekovat pouze nˇekteréútoky – respektive útoky, kterézná.To znamená,ˇzepouˇzitásada test˚ubude ve velkém´ıˇre reflektovat dosaˇzenévýsledky. Takése m˚uˇzestát,ˇzetest bude zamˇeˇrenna jistýtyp útok˚ua nˇekteréIDS tak budou diskriminovány. V menˇs´ım´ıˇreto ale plat´ıi u IDS zaloˇzených na detekci anomáli´ı, kterénenaleznou útoky v datech, kterázrovna nekontroluj´ı. Stejnˇetak nelze pouˇz´ıttotoˇznésady test˚ujak pro s´ıt’ové,tak pro hos- titelskéIDS. S´ıt’ovéIDS lze testovat i v offline reˇzimu za pomoc´ıvytvoˇren´ı souboru obsahuj´ıc´ıhoprovoz a ten pak lze opakovanˇepˇrehrávat. Výhodou tohoto zp˚usobuje moˇznosttestovat jednotlivázaˇr´ızen´ısamostatnˇea je vcelku jednoduchédosáhnoutopakovatelnosti testu. HostitelskéIDS pouˇz´ıvaj´ımno- ho r˚uzných vstup˚usystému, aby byly schopnédetekovat, jestli systémˇcel´ı útokunebo nikoliv. Tyto systémy jsou nastavenétak, aby monitorovaly hos- titele a ne pouze s´ıt’ovýprovoz. To ˇcin´ıv´ıcenásobnéopakován´ıstejnéhotestu

26 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJÍCÍ ZPUSOBY˚ TESTOVAN´ Í mnohem sloˇzitˇejˇs´ım.Je tedy tˇeˇzkézajistit rovnocennétestován´ır˚uzných IDS a opakovatelnost takových test˚u.

3.6.3 Typ provozu pouˇzitýv testech Vˇetˇsinu test˚ulze zaˇradit do jednéze ˇctyˇrkategori´ıtyp˚uprovozu, kterýje v testu pouˇzit.Jednáse o testován´ıbez provozu, pouˇzit´ıreálnéhoprovozu, pouˇzit´ıvyˇciˇstˇenéhoprovozu a pouˇzit´ıumˇelevygenerovanéhoprovozu. Kaˇzdý zp˚usobmásvévýhody a nevýhody a nelze jednoznaˇcnˇeˇr´ıci,kterou variantu zvolit. 1. Testován´ıbez provozu Nˇekterétesty IDS nepouˇz´ıvaly ˇzádnýprovoz na pozad´ı. Testované zaˇr´ızen´ıje zapojeno do uzavˇrenés´ıtˇe,na kteréneprob´ıháˇzádnáak- tivita a pˇritestu jsou generovány útoky za úˇcelemzjiˇstˇen´ıschopnosti detekce útokutestovanýmzaˇr´ızen´ım.Zjist´ımetak úspˇeˇsnostdetekce, ale výsledeknámneprozrad´ınic ohlednˇefaleˇsných poplach˚u. Tento typ testu je vhodnýnapˇr´ıkladpro ovˇeˇren´ı,ˇzedanéIDS obsahuje seznam vzor˚upro generovanéútokya je schopno je správnˇeoznaˇcit. Tyto testy jsou takémnohem ménˇenároˇcné,jelikoˇznen´ıpotˇrebaˇzádný provoz. Nevýhodou je ovˇsemto, ˇzeschopnost detekován´ınebere v potaz ˇzádnýprovoz na pozad´ıa jak je uvedeno napˇr´ıkladv testu NSS Group, s nar˚ustaj´ıc´ımprovozem tato schopnost m˚uˇzevýraznˇekles- nout. 2. Pouˇzit´ıreálného provozu Tyto testy jsou provádˇeny pˇridán´ımprovozu obsahuj´ıc´ıho útokydo provozu, kterýbyl nachytánna skuteˇcnés´ıti.Lze tak velmi dobˇreod- stupˇnovat schopnost detekce útok˚upˇri r˚uznévelikosti provozu beˇz´ıc´ıho na pozad´ı. I tento zp˚usobmáale sváúskal´ı.Vˇetˇsinounen´ımoˇznéuchovávat velké mnoˇzstv´ıdat z d˚uvodu bezpeˇcnostia obsahu tˇechto dat, napˇr´ıkladpo- kud pocház´ız páteˇrn´ıch s´ıt´ı.D´ıkytomu nelze ani dost dobˇretakový provoz pouˇz´ıvat veˇrejnˇea tvoˇritz nˇejsadu test˚upro komerˇcn´ıpouˇzit´ı. Pˇripotˇrebˇepˇrehrán´ıvelkéhomnoˇzstv´ıprovozu m˚uˇzebýtnutnápa- ralelizace tohoto procesu. Pˇr´ıtomnostr˚uzných anomáli´ıv nachytaném provozu m˚uˇzezvýhodnit nˇekterýtyp IDS, hlavnˇesystémy zaloˇzené na detekci pomoc´ı anomáli´ı. Naopak pokud nˇekteráIDS zkoumaj´ı detailnˇejijeden typ protokolu, nemus´ıpotom zaregistrovat jinétypy útok˚u. Obsah r˚uzných anomáli´ıv nachytanémprovozu vede takéke znehodno- cen´ıparametru faleˇsných poplach˚u,protoˇzenejsp´ıˇsenebudeme schopni naj´ıtv tomto provozu vˇsechny útokya bude potˇrebahodnotu faleˇsných poplach˚unˇejakaproximovat.

27 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJÍCÍ ZPUSOBY˚ TESTOVAN´ Í

3. Pouˇzit´ıvyˇciˇstˇenéhoprovozu Abychom se vyhnuli pˇredchoz´ımu problému s veˇrejnýmpublikován´ım nachytanéhoprovozu, mámemoˇznosttento provoz vyˇcistit.Nachytaná data jsou tak pozmˇenˇenaa k nim jsou útokybud’ pˇrim´ıchány pˇredem, nebo dodány soubˇeˇznýmspouˇstˇen´ıms vyˇciˇstˇenýmprovozem. Výhodou je moˇznostvolnédistribuce takovésady provozu, ale pˇriˇciˇstˇen´ıdat toho m˚uˇzemevyˇcistitaˇzpˇr´ıliˇsa t´ımpádemse z reálnéhoprostˇred´ı stane prostˇred´ınereálné.M˚uˇzese ale i stát,ˇzeve vyˇciˇstˇenémprovozu pˇrecijen z˚ustanounˇejakácitlivádata, kteránebyla identifikována. D´ıkytomuto riziku nebude toto ˇreˇsen´ınejsp´ıˇsemoc pouˇz´ıváno.Stejnˇe tak nebudou generovanéútokys tˇemitodaty nijak svázány, jelikoˇz nejsou úplnˇereálná,jak by mˇelabýt.

4. Pouˇzit´ıumˇele vygenerovanéhoprovozu Pˇritomto testu je pouˇzitnˇekterýz generátor˚uprovozu, jako napˇr´ıklad hardwarovýSmartBits[21] generátor.Lze takto generovat r˚uznˇevelké pakety velkou rychlost´ı,tyto uloˇzita bez problému pˇrehrávat a veˇrejnˇe publikovat. Dalˇs´ıvýhodou je garance nepˇr´ıtomnostiútok˚u,o kterých nev´ıme.Tyto generátory, jak bylo jiˇzzm´ınˇeno,byly vˇetˇsinouuzp˚usobe- ny k testován´ırouter˚ua neobsahuj´ıtedy nˇekteréd˚uleˇzitéprvky potˇreb- népro testován´ıIDS.

3.7 Navrhovan´yzp˚usobtest˚u

Na základˇepoznatk˚uz jiˇzprovedených test˚ua jednotlivých problém˚uu roz- d´ılných pˇr´ıstup˚uk testován´ıbude v tétopráciprob´ıhat testován´ıIDS za pomoc´ıreálnéhoprovozu. Testy s t´ımto provozem dávaj´ılepˇs´ıinformace pro pˇr´ıpadnézákazn´ıkya testován´ıv rámcitétopráceje zamˇeˇrenona komerˇcn´ı s´ıt’ovézaˇr´ızen´ı,tedy výsledkyby mˇelypomoci pˇrivýbˇerukonkrétn´ıhopro- duktu. Problémy s nemoˇznost´ıpublikace nachytanéhoprovozu nen´ızat´ımnutné ˇreˇsita testy budou provádˇeny na stejnés´ıti, na kterébude tento provoz nachytán. Zádnérizikoˇ nav´ıcz hlediska únikucitlivých informac´ıtedy ne- vzniká.

Do v´ystupn´ıch parametr˚utest˚ubudou zahrnuty n´asleduj´ıc´ıparametry:

• propustnost,

• poˇcetsouˇcasn´ych spojen´ı,

• jitter.

28 KAPITOLA 3. PARAMETRY VYROBK´ U˚ IDS A EXISTUJÍCÍ ZPUSOBY˚ TESTOVAN´ Í

Budou testovány s provozem obsahuj´ıc´ımr˚uznˇevelképakety a takév r˚uzných reˇzimech testovanéhozaˇr´ızen´ı:

• paketov´yﬁltr bez pravidel,

• paketov´yﬁltr,

• proxy s antivirovou kontrolou,

• reˇzimIDS.

29 Kapitola 4

Software pro testov´an´ı

V tétokapitole je shrnut software, kterýby se dal vyuˇz´ıt pro testován´ı propustnosti a výkonnosti IDS. Vˇsechen software je volnˇedostupný,spoleˇcnˇe se struˇcnýmpopisem jsou uvedeny i moˇznostivyuˇzit´ı pro konkrétn´ı typ testu. Nejd˚uleˇzitˇejˇs´ıˇcást´ı test˚uje m´ıt k dispozici s´ıt’ovýprovoz, kterýbude pouˇzitpro zat´ıˇzen´ıs´ıtˇe.Na základˇevýˇseuvedených poznatk˚ujsou k dispozici dvˇemoˇznosti.Bud’ si provoz vygenerujeme a nebo odchytneme reálný provoz, uloˇz´ımejej a potépˇrehrajeme.

4.1 Nachytán´ıreálnéhoprovozu

Abychom mohli nachytat reálnýprovoz na s´ıtia uloˇzitjej, m˚uˇzemevyuˇz´ıt dva programy. Jsou to wireshark[26] a tcpdump[27]. Jak wireshark, tak tcpdump funguje pro OS Windows i Linux (tcpdump pro Windows býváoznaˇcovánnázvem windump). Oba programy odchytávaj´ı v reálnémˇcaseprovoz na s´ıti,do kteréje pˇripojen poˇc´ıtaˇcs t´ımto programem. Ovládán´ıtˇechto program˚uje intuitivn´ı,nachytanádata se ukládaj´ı ve formátupcap[28]. Oba programy jdou také pouˇz´ıt pro zobrazen´ı jiˇz uloˇzených pcap soubor˚ua jejich úpravu napˇr´ıkladpomoc´ısluˇcován´ıa fil- trován´ıurˇcitých typ˚upaket˚u.

4.1.1 Wireshark Wireshark je asi nejznámˇejˇs´ıprogram pouˇz´ıvanýpro analýzus´ıt’ovéhopro- vozu. Je povaˇzovánza standard mezi mnoha spoleˇcnostmia vzdˇelávac´ımi institucemi. Wireshark je volnˇedostupnýa práces t´ımto programem je popsánav dalˇs´ıch kapitolách.

30 KAPITOLA 4. SOFTWARE PRO TESTOVAN´ ´I

C´ıl.port Poˇcettok˚u Poˇcetpaket˚u Velikost v MB 53 4 000 000 (50 %) 48 000 000 (27,5 %) 460,8 80 2 000 000 (25 %) 100 200 000 (57,5 %) 18 700 (12 %) 443 455 619 (5,5 %) 11 700 000 (6,7 %) 6 700 (4,5 %) 123 379 030 (4,6 %) 1 000 000 79,5 88 326 296 330 535 62,9

Tabulka 4.1: Provoz seˇrazen´ypodle c´ılov´ehoportu.

Protokol Poˇcettok˚u Poˇcetpaket˚u Velikost v MB UDP 14 600 000 (71 %) 72 300 000 (13 %) 41 500 (9 %) TCP 5 900 000 (28 %) 450 300 000 (86 %) 405 700 (90 %) ICMP 95 658 (0,5 %) 405 154 39,8 IPv6 7 122 512 665 218,7 ICMP6 1 772 2 774 0,27

Tabulka 4.2: Provoz seˇrazen´ypodle protokolu.

4.2 Generov´an´ıprovozu

Pro softwarovégenerován´ıprovozu se hod´ıprogram mausezahn[29]. V pˇr´ıpa- dˇepouˇzit´ıtohoto programu a generován´ıprovozu mámev zásadˇedvˇemoˇz- nosti. Bud’ budeme generovat provoz pˇr´ımo pˇripr˚ubˇehu testován´ı, nebo si nejdˇr´ıve vygenerovanýprovoz odchytneme, uloˇz´ıme a pak pˇrehrajeme. U prvn´ımoˇznostinámstaˇc´ınainstalovat mausezahn na jeden ˇciv´ıcepoˇc´ıtaˇc˚u, ze kterých budeme generovat provoz a kterýbude smˇerovánpˇrestestované zaˇr´ızen´ı.Provoz generovanýprogramem mausezahn lze na tomtéˇzpoˇc´ıtaˇci odchytávat napˇr´ıkladpomoc´ı wiresharku a ukládat. Pˇri generován´ı provozu a zajiˇstˇen´ı co nejvˇetˇs´ı podobnosti s reálným provozem by byla vyuˇzitastatistika provozu zachycenéhona Masarykovˇe Univerzitˇe.Dvˇetabulky výˇsezobrazuj´ı statistiku provozu zachycenou na pˇr´ıpojnémbodˇeMasarykovy univerzity ze 4. dubna 2010 v dobˇeod 11:00 do 12:00 hod. V tabulce 4.1 jsou data seˇrazenapodle c´ılovéhoportu, v tabulce 4.2 podle protokolu.

Z c´ılov´ych port˚ujsou nejv´ıcezastoupeny porty 53 (DNS), 80 (HTTP), 443 (HTTPS), 123 (NTP) a 88 (Kerberos), u protokol˚use jedn´ahlavˇeo UDP, TCP, ICMP, IPv6 a ICMP6.

31 KAPITOLA 4. SOFTWARE PRO TESTOVAN´ ´I

4.2.1 Mausezahn Mausezahn je volnˇedostupnýrychlýgenerátorprovozu napsanýv pro- gramovac´ımjazyce C. Umoˇzˇnuje automaticképos´ılán´ımnoha typ˚upaket˚u na náhodnéIP a MAC adresy. Je zde takémoˇznostnastaven´ıopakován´ı, pˇr´ıpadnˇenekoneˇcnésmyˇcky. Je moˇznéautomaticky generovat pakety pro protokoly ARP, BPDU, IP a ˇcásteˇcnˇei ICMP, UDP a TCP. Lze i nastavit opoˇzdˇenégenerován´ınebo nastavit vlastn´ıIP a MAC adresy vytváˇrených paket˚u. Na druhés´ıt’ovévrstvˇedovoluje poslat jakýkoliv ˇretˇezecbajt˚upˇr´ımo skrze Ethernetovérozhran´ıa pomoc´ıARP protokolu je schopen vytvoˇrit DNS cache poisoning útok.DNS cache poisoning útokspoˇc´ıváv napaden´ı DNS serveru a vnucen´ıvlastn´ıch záznam˚u,kterémohou býtpotézneuˇzity k pˇresmˇerován´ına podvodnéinternetovéstránky, aniˇzby uˇzivatel byl schopen na prvn´ıpohled poznat, ˇzenen´ınˇecov poˇrádku.

Na vyˇsˇs´ıch s´ıt’ových vrstvách ovládá mausezahn tyto protokoly:

• IP: umoˇzˇnujegenerovat nekorektn´ıpakety s n´ahodnou IP adresou.

• UDP: nastaven´ızdrojové/c´ılovéadresy, souˇcasnépos´ılán´ına v´ıceport˚u.

• ICMP: moˇznostgenerov´an´ıICMP Redirect (pˇresmˇerov´an´ıpaket˚una jinou s´ıt’ovou trasu).

• TCP: stejnéjako UDP, generace SYN flood útoku(zahlcen´ıserveru velkýmmnoˇzstv´ımpaket˚uˇzádaj´ıc´ımo vytvoˇren´ıTCP spojen´ı,které je ponechánov polootevˇrenémstavu).

• DNS: dotazy nebo odpovˇedi.

Program mausezahn um´ıtakémˇeˇritzpoˇzdˇen´ına s´ıtina danétrase a dovoluje pr˚ubˇeˇznémˇeˇren´ı a tedy monitorován´ı zpoˇzdˇen´ı v závislostina zmˇenách provozu na s´ıti.Mˇeˇren´ızpoˇzdˇen´ıje zaloˇzenona pos´ılán´ıRTP (Real Time Protocol) paket˚ua je moˇznéjak jednosmˇernˇe,tak i obousmˇernˇe.U jed- nosmˇernéhomˇeˇren´ıpostaˇc´ızadat IP adresu koncovéhobodu, kterýbude od- chytávat RTP pakety. V pˇr´ıpadˇeobousmˇernéhomˇeˇren´ızpoˇzdˇen´ı mausezahn vyˇzadujevzájemnouidentifikaci koncových bod˚u.Grafickývýstupobou typ˚u mˇeˇren´ıje totoˇznýa lze vidˇetna obrázkuˇc´ıslo4.1.

4.2.2 Iperf Dalˇs´ımnástrojem je iperf [30]. Jednáse o testovac´ıaplikaci, kteráum´ıvytvá- ˇretTCP a UDP datovéproudy a mˇeˇritpropustnost s´ıtˇe.Umoˇzˇnujenastavit mnoho r˚uzných parametr˚u.Skládáse z klientskéa serverovéˇcástia je moˇzné

32 KAPITOLA 4. SOFTWARE PRO TESTOVAN´ ´I

Obrázek4.1: Jitter. mˇeˇritpropustnost mezi dvˇemabody jak jednosmˇernˇe,tak i obousmˇernˇe(coˇz m˚uˇzebýtd˚uleˇzitév pˇr´ıpadˇeasymetrických linek ˇcispeciáln´ıch nastaven´ı QoS, tedy kvality sluˇzeb).

4.3 Poˇcetsouˇcasn´ych spojen´ı

Maximáln´ıpoˇcetsouˇcasných spojen´ıje moˇznétestovat pomoc´ıgenerován´ı poˇzadavk˚uaplikac´ı apache benchmarking tool (ab)[31]. Ab slouˇz´ık testován´ı odezvy webových server˚u.Výsledkem je tedy hodnota, kolik souˇcasných spojen´ıje server schopen zvládnout.Lze takto vytváˇretmnoho spojen´ıa sle- dovat, zda je testovanézaˇr´ızen´ıschopno tato spojen´ıjeˇstˇeodbavovat, nebo jiˇzne. Problematickýmm´ıstemtestu by mohla býtdostupnost dostateˇcnˇe výkonnéhowebovéhoserveru, kterýzvládnereagovat na tak velkémnoˇzstv´ı poˇzadavk˚u.

4.4 Utoky´

Pokud bychom chtˇeli mˇeˇritúspˇeˇsnostdetekce útok˚u,lze vyuˇz´ıt program nessus[32] a prostˇred´ı Metasploit[33]. Pro tvorbu nˇekterých typ˚uútok˚u (DoS, TCP SYN flood) lze vyuˇz´ıtjiˇzzm´ınˇenýprogram mausezahn.

4.4.1 Nessus Nessus je volnˇedostupnýpro nekomerˇcn´ıpouˇzit´ı.Jednáse o s´ıt’ovýske- ner, kterýprozkoumájednotlivépoˇc´ıtaˇcena s´ıti.Hledá,kterés´ıt’ovésluˇzby jsou dostupné,a s obsáhloudatabáz´ızásuvných modul˚u,kterépˇredstavuj´ı

33 KAPITOLA 4. SOFTWARE PRO TESTOVAN´ Í jednotlivékontroln´ıtesty, ovˇeˇruje,jsou-li tyto sluˇzby bezpeˇcnˇenaprogramo- vanéˇcinakonfigurované.Kromˇejednorázových test˚ulze testy spouˇstˇettaké v pravidelných intervalech a z´ıskat tak pˇrehledo zmˇenách sluˇzebbˇeˇz´ıc´ıch na testovaných zaˇr´ızen´ıch.

4.4.2 Metasploit SystémMetasploit se pouˇz´ıvápro penetraˇcn´ıtestován´ıa testován´ıodolnosti proti známýmbezpeˇcnostn´ımchybám.Obsahuje pˇredprogramovanéexploity – bezpeˇcnostn´ı chyby v operaˇcn´ım systému – kterélze vyuˇz´ıt k pˇrevzet´ı kontroly napadenéhooperaˇcn´ıhosystému. Na poˇcátkuMetasploit fungoval jako databázepublikovaných chyb a bezpeˇcnostn´ıch dˇer.V dneˇsn´ıdobˇese jednáo dobˇrepopsané,aktualizované a plnohodnotnérozhran´ı s uˇziteˇcnýmitechnikami, kterémohou vyuˇz´ıvat vývojáˇrii bezpeˇcnostn´ıanalytici.

4.5 Uprava´ a pˇrehr´an´ıprovozu

K pˇrehráván´ıprovozu, at’ jiˇznachytanéhonebo vygenerovaného,bude pouˇzit nástroj tcpreplay[22]. K úpravˇenachytanéhoprovozu budou pouˇzity aplikace tcpprep a tcprewrite, kteréjsou souˇcást´ıinstalaˇcn´ıhobal´ıˇcku tcpreplay. Upra-´ va nachytanéhoprovozu je nutnákv˚ulipˇr´ıtomnostiswitch˚ua router˚una s´ıti,kde budou prob´ıhattesty IDS. Aktivn´ıprvky jsou kv˚ulibezpeˇcnosti nastaveny tak, aby zahazovaly nekorektn´ıprovoz a ten je potˇrebaodstranit. Konkrétn´ıpostup je popsánv následuj´ıc´ıkapitole.

4.6 Kernun GUI

Informace o jednotlivých komponentách zaˇr´ızen´ıKernun lze z´ıskat pomoc´ı softwaru Kernun GUI [34], kterýse pˇripoj´ık IDS Kernun pomoc´ıSSH[35]. K pˇrihláˇsen´ıje potˇrebam´ıtSSH kl´ıˇc,jehoˇzveˇrejnáˇcástse nacház´ına IDS Kernun. Pomoc´ıprivátn´ıˇcástikl´ıˇce, kterámus´ıbýtve formátupouˇzitelném pomoc´ı aplikace putty[36], se lze pˇripojit k zaˇr´ızen´ı. Tyto kl´ıˇceje moˇzné vygenerovat pomoc´ınástroje puttygen[37].

Po instalaci a spuˇstˇen´ıprogramu se objev´ıokno vyobrazenéna obrázkuˇc´ıslo 4.2. Vybereme moˇznost Connect to server“ a otevˇrese námokno, kteréje ” vidˇetna obrázkuˇc´ıslo4.3.

Po vyplnˇen´ınezbytných údaj˚ua jejich potvrzen´ıse jiˇzotevˇreokno, v nˇemˇz jsou zobrazeny informace o jednotlivých komponentách zaˇr´ızen´ıKernun. Na obrázkuˇc´ıslo4.4 je v levémmenu vybránoextern´ıs´ıt’ovérozhran´ıa v pravé ˇcástiokna jsou vidˇet grafy zobrazuj´ıc´ıvyt´ıˇzenosttohoto rozhran´ı.Jsou zde

34 KAPITOLA 4. SOFTWARE PRO TESTOVAN´ ´I

Obr´azek4.2: Kernun GUI.

Obrázek4.3: Kernun GUI. uvedeny poˇcty bit˚ua paketu za sekundu a jejich maximáln´ıhodnota za dané obdob´ı.Jako ˇcasovýúsekje vybránajedna hodina.

35 KAPITOLA 4. SOFTWARE PRO TESTOVAN´ ´I

Obr´azek4.4: Kernun GUI.

36 Kapitola 5

Potˇrebn´adata pro vybran´e testy

Prvn´ıtest probˇehlpomoc´ıaplikace wget[38]. Jednalo se o stáhnut´ıjednoho souboru a sledován´ı,jak se zmˇen´ızátˇeˇzna s´ıtia jestli se nˇejakýmzp˚usobem prom´ıtnedo graf˚u,kteréjsou v aplikaci Kernun GUI k dispozici. T´ımto byla takéovˇeˇrenafunkˇcnostpˇripojen´ıaplikace k zaˇr´ızen´ıIDS Kernun. Dálebylo vyuˇzitovýmˇeny poˇc´ıtaˇc˚una Celouniverzitn´ı poˇc´ıtaˇcovéstudovnˇeMU[39] za novéa pozorován´ıprovozu na s´ıtipˇribezobsluˇznéinstalaci operaˇcn´ıho systému a softwaru. Jako posledn´ıbyl proveden test s nachytanýmia upra- venýmidaty pos´ılanýmido s´ıtˇepomoc´ıprogramu tcpreplay.

5.1 Test stahov´an´ı– potˇrebn´adata

K tomuto testu nebyla potˇrebaˇzádnáspeciáln´ıdata. Soubor, kterýje sta- hován,je uloˇzenna serveru ftp.linux.cz um´ıstˇenémv s´ıti Masarykovy univerzity a disponuje gigabitovýmpˇripojen´ım.Vybránbyl soubor o velikosti 2,5 GB, jednáse o tzv. live dvd linuxovédistribuce systému Gentoo. Z live dvd, nebo cd, lze spustit operaˇcn´ısystémaniˇzby byl nainstalovánna poˇc´ıtaˇci.

5.2 Test instalace – potˇrebn´adata

Pro tento test takénebyla potˇrebaˇzádnáúprava dat. S´ıt’ováinstalace operaˇc- n´ıhosystému a program˚uprob´ıhalapomoc´ınástroje OPSI [40]. Takto lze vzdálenˇeinstalovat poˇc´ıtaˇce,kteréjsou vybaveny s´ıt’ovou kartou s reˇzimem PXE (Preboot Execution Environment). Detailnˇejˇs´ıpopis testu je uveden v následuj´ıc´ıkapitole.

37 KAPITOLA 5. POTREBNˇ A´ DATA PRO VYBRANE´ TESTY

5.3 Test pos´ıl´an´ıdat – potˇrebn´adata

Pro tento test byla pouˇzitareálnádata z provozu na s´ıti. Pomoc´ıprogramu wireshark, kterýbyl nainstalovánna jednom z poˇc´ıtaˇc˚uv Celouniverzitn´ı poˇc´ıtaˇcovéstudovnˇeMU, byl odchycen provoz na lokáln´ıs´ıtia potéuloˇzen do souboru ve formátupcap. Pro bezproblémovéopakovanéposlán´ıtˇechto dat je nutnájejich dalˇs´ıúprava.

5.3.1 Uprava´ uloˇzených dat Pˇri úpravˇedat se jednáo odstranˇen´ı typu provozu, kterýby mohl pˇri opˇetovnémodeslán´ızp˚usobovat problémy na s´ıti,a takéo zmˇenu výchoz´ıch a c´ılových IP a MAC adres. Routery, kteréjsou na s´ıt’ovécestˇemezi odes´ılaj´ı- c´ımpoˇc´ıtaˇcema testovanémzaˇr´ızen´ı,maj´ınastaveny bezpeˇcnostn´ıpolitiky tak, aby na jeden pˇripojenýport mohly pˇricházetpouze pakety s jednou IP a MAC adresou. Nelze tedy odeslat provoz v takovémstavu, v jakémho mámeuloˇzený. Prvn´ımkrokem v úpravˇenachytanéhoprovozu bude odstranˇen´ıpaket˚u protokolu DHCP (Dynamic Host Configuration Protocol) a STP (Spanning Tree Protocol). DHCP slouˇz´ık pˇridˇelován´ıIP adres poˇc´ıtaˇc˚um,kterémaj´ı v konfiguraci s´ıt’ovéhorozhran´ıvybránu moˇznostautomatickéhopˇridˇelován´ı IP adresy. DHCP poˇzadavky odstran´ımev programu wireshark pomoc´ıfiltru not ” bootp“ (BOOTP je pˇredch˚udceprotokolu DHCP a pod t´ımto názvem je uveden ve wiresharku). Filtr not bootp“ odstran´ıvˇsechny pakety s protokolem ” DHCP a ve výbˇerunejsou jiˇztyto pakety uvedeny. STP pakety slouˇz´ıpro komunikaci mezi aktivn´ımiprvky s´ıtˇe,switchi. Bezpeˇcnostn´ıpolitika na switch´ıch m˚uˇzezakazovat generován´ıtakových dat bˇeˇznýmipoˇc´ıtaˇcia m˚uˇzevéstk zablokován´ı dalˇs´ı komunikace poˇc´ıtaˇce, protoˇzemohou býtzneuˇzitak útokuna Spanning Tree Protocol. Tyto pakety odstran´ımepouˇzit´ımfiltru not stp“. ” Ve výbˇerunámtak z˚ustanoupakety neobsahuj´ıc´ıprovoz typu DHCP a STP. Pomoc´ımoˇznosti Uloˇzitjako“ a vybrán´ımpouze zobrazených pa- ” ket˚utento výbˇeruloˇz´ıme.Dálebude potˇrebazmˇenit zdrojovéa c´ılovéIP a MAC adresy v hlaviˇckách paket˚upomoc´ıprogram˚u tcpprep a tcprewrite zp˚usobem popsanýmdálev textu. Zmˇenaje nutnáz d˚uvodu bezpeˇcnostn´ıch politik aktivn´ıch prvk˚us´ıtˇe,kterémohou býtnastaveny na blokován´ıport˚u pˇrij´ımaj´ıc´ıch data s r˚uznýmizdrojovýmiadresami. Zmˇenac´ılových adres zajist´ıpˇrenosdat skrze testovanézaˇr´ızen´ı. Protoˇzeprostˇred´ıCelouniverzitn´ıpoˇc´ıtaˇcovéstudovny MU je zaloˇzeno na operaˇcn´ımsystému Microsoft Windows XP Professional a programy tcpprep, tcprewrite a tcpreplay nejsou pod Windows nativnˇe podporovány, byl pouˇzitnástroj cygwin[41] umoˇzˇnuj´ıc´ıprovozován´ılinuxových program˚u v prostˇred´ıMicrosoft Windows. Aplikace cygwin mástejnou adresáˇrovou

38 KAPITOLA 5. POTREBNˇ A´ DATA PRO VYBRANE´ TESTY strukturu jako linuxovéoperaˇcn´ısystémy a kop´ırovat data do domovského adresáˇrev cygwinu lze pˇresPr˚uzkumn´ıkWindows. Nejdˇr´ıve bylo potˇrebanainstalovat aplikaci cygwin, a to s kompilátorem gcc[42][43]. Ten je nutnýpro instalaci nástroj˚urodiny tcpreplay. Podle návod˚uprobˇehlovˇsebez problému a programy fungovaly správnˇe. Adresáˇrs programem cygwin je pˇrenositelnýa nebylo nutnétyto kroky provádˇetna v´ıcepoˇc´ıtaˇc´ıch, kterébudou potˇrebak proveden´ıtestu.

Dalˇs´ım krokem v úpravˇebyla zmˇenazdrojových a c´ılových IP a MAC adres v závislostina tom, ze kteréhopoˇc´ıtaˇce budou data odes´ılánado s´ıtˇe.Nejdˇr´ıve vyuˇzijemeaplikaci tcpprep. Nachytanádata jsou obousmˇerná, to znamená,ˇzeobsahuj´ıjak klientskou, tak i serverovou ˇcástprovozu. Je potˇreba,aby z odchoz´ıhopoˇc´ıtaˇceodcházelapouze klientskáˇcástdat. Toto rozdˇelen´ıse provede právˇeaplikac´ı tcpprep, kterána základˇeˇc´ıslaportu provoz rozdˇel´ı.Dˇelen´ıdat je zaloˇzenéna pˇredpokladu, ˇzeodchoz´ıprovoz má výchoz´ıport vyˇsˇs´ıneˇz1024 a c´ılovýport niˇzˇs´ıneˇz1024. Takzvanˇeznámé porty do hodnoty 1024 jsou implicitnˇepouˇz´ıvány sluˇzbamijako HTTP nebo SSL a je zvykem pro tyto sluˇzby pouˇz´ıvat konkrétn´ıˇc´ıslaport˚u.Pˇr´ıkaz pro proveden´ıtohoto dˇelen´ıje následuj´ıc´ı: tcpprep --port --cachefile=example.cache --pcap=data.pcap, kde pˇrep´ınaˇc port znaˇc´ıprávˇeono dˇelen´ıprovozu podle ˇc´ıslaportu, pˇrep´ınaˇc cachefile oznaˇcujepomocnýsoubor potˇrebnýk rozdˇelen´ıprovozu a pˇrep´ınaˇc pcap udávásoubor, jenˇzchceme takto rozdˇelit.

Dálepotˇrebujemezmˇenitzdrojovou a c´ılovou IP adresu, aby nebyla za- blokovánakomunikace poˇc´ıtaˇci,jenˇzbude tato data odes´ılat do s´ıtˇe.Je tedy závislána poˇc´ıtaˇci,ze kteréhobudou data odes´ılána. C´ılováadresa je adresa nˇejakéhopoˇc´ıtaˇcev jinés´ıti,aby data byla poslánapˇrestestované zaˇr´ızen´ı,kteréje na pˇr´ıpojnémbodu lokáln´ıs´ıtˇe.To provedeme následuj´ıc´ım pˇr´ıkazem: tcprewrite.exe --endpoints=1.1.1.1:2.2.2.2 --cachefile= example.cache --infile=new.pcap --outfile=new1.pcap, kde pˇrep´ınaˇc endpoints udávázdrojovou a c´ılovou IP adresu oddˇelenou dvojteˇckou, pˇrep´ınaˇc cachefile oznaˇcujev pˇredchoz´ımkroku vytvoˇrenýpo- mocnýsoubor, pˇrep´ınaˇc infile udávávstupn´ısoubor a pˇrep´ınaˇc outfile novˇe vytvoˇrenýsoubor se zmˇenˇenýmiIP adresami.

Na závˇerje nutnézmˇenitzdrojovou a c´ılovou MAC adresu. ZdrojováMAC adresa bude adresa s´ıt’ovékarty poˇc´ıtaˇce,z nˇehoˇzbudeme data odes´ılata c´ılováMAC adresa bude adresa brány s´ıtˇe,v n´ıˇzje tento poˇc´ıtaˇc.MAC adresu brány s´ıtˇezjist´ıme pomoc´ıprotokolu ARP (Address Resolution Pro- tocol), kterýpˇrekládáIP adresy na MAC adresy. Spuˇstˇen´ım pˇr´ıkazu arp

39 KAPITOLA 5. POTREBNˇ A´ DATA PRO VYBRANE´ TESTY

Velikost v B Poˇcetpaket˚u Procentu´aln´ızastoupen´ı 40-79 59 404 25,4 % 80-159 42 288 18,1 % 160-319 28 744 12,3 % 320-639 7 168 3,1 % 640-1279 9 600 4,1 % 1280-2559 86 932 37,1 %

Tabulka 5.1: Statistika velikosti TCP paket˚u. s pˇrep´ınaˇcem a z pˇr´ıkazovéˇrádky se zobraz´ıtabulka obsahuj´ıc´ızáznamy IP adres a k nim pˇr´ısluˇsných MAC adres. Pˇr´ıkaz mus´ıbýtspuˇstˇenna poˇc´ıtaˇci v s´ıti,kde se nacház´ıpoˇzadovanávýchoz´ıbrána.Ke zmˇenˇeMAC adres slouˇz´ı pˇr´ıkaz: tcprewrite --enet-dmac=00:22:19:9a:24:4a --enet-smac= 00:44:66:fc:29:bd --infile=new1.pcap --outfile=final.pcap, kde pˇrep´ınaˇc enet-dmac oznaˇcujec´ılovou MAC adresu, pˇrep´ınaˇc enet-smac zdrojovou MAC adresu a pˇrep´ınaˇce infile a outfile soubor ze zmˇenˇenýmiIP adresami a výslednýsoubor, kterýmázmˇenˇeny i MAC adresy.

5.3.2 Statistika provozu s malýmipakety Data z´ıskanápostupem uvedenýmvýˇsejsou zástupcem reálnéhopr˚umˇerného provozu. Pro lepˇs´ıpˇredstavu, jak vypadábˇeˇznýs´ıt’ovýprovoz na poˇc´ıtaˇcové studovnˇe,je dáleuvedena statistika. Výslednýsoubor obsahuje 377 988 paket˚uo celkovévelikosti cca 185 MB. Pr˚umˇernávelikost paketu je 471,68 bajt˚u. V následuj´ıc´ıch tabulkách je uvedena velikost TCP a UDP paket˚u,jejich poˇcet,procentuáln´ızastoupen´ıa dálekolik paket˚ua bajt˚upˇredstavuje provoz seˇrazendle c´ılovéhoportu a dle protokolu. Z tabulky ˇc´ıslo5.1 vyplývá,ˇzes v´ıceneˇztˇretinovýmzastoupen´ımjsou pˇr´ıtomny TCP pakety o velikosti v rozmez´ı1280-2559 bajt˚u.Jednáse pˇreváˇz- nˇeo pˇrenosdat. Dálejsou zastoupeny naopak malépakety o velikosti mezi 40-79 bajt˚use ˇctvrtinovýmpod´ılem.Jsou to potvrzovac´ıpakety TCP tok˚u. V tabulce ˇc´ıslo 5.2 lze pozorovat nejvˇetˇs´ı zastoupen´ı paket˚uvelikosti 80-319, je jich v´ıceneˇz98 %. Nejv´ıceje zastoupen protokol TCP a UDP a u port˚use jednáhlavnˇe o porty, kteréjsou nutnépro bˇehsluˇzby Microsoft Active Directory[44]. Tyto informace jsou vidˇetv tabulkách ˇc´ıslo5.3 a 5.4. Studenti se na poˇc´ıtaˇcepˇrihlaˇsuj´ıprávˇepomoc´ıúˇct˚uuloˇzených v Active Di- rectory a autentizuj´ıse pomoc´ıtiket˚usystému Kerberos. Ten slouˇz´ık udˇelo-

40 KAPITOLA 5. POTREBNˇ A´ DATA PRO VYBRANE´ TESTY

Velikost v B Poˇcetpaket˚u Procentu´aln´ızastoupen´ı 40-79 1 840 1,3 % 80-159 90 008 62,6 % 160-319 51 156 35,6 % 1280-2559 832 0,6 %

Tabulka 5.2: Statistika velikosti UDP paket˚u.

Protokol Poˇcetpaket˚u Velikost TCP (Transmission Control Protocol) 234 136 156 MB UDP (User Datagram Protocol) 143 852 22 MB NetBios Name Service 86 404 8,2 MB SMB (Server Message Block Protocol) 67 935 12,3 MB

Tabulka 5.3: Statistika na z´akladˇeprotokolu.

C´ıl.port Poˇcetpaket˚u Velikost 445 (Microsoft-DS) 170 864 140,2 MB 137 (Netbios-ns) 86 404 8,3 MB 138 (Netbios-ds) 48 708 11,5 MB 80 (HTTP) 43 572 7,7 MB

Tabulka 5.4: Statistika na z´akladˇec´ılov´ehoportu.

41 KAPITOLA 5. POTREBNˇ A´ DATA PRO VYBRANE´ TESTY ván´ıoprávnˇen´ıpro jednotlivésluˇzby Active Directory, jako jsou pˇr´ıstupy na sd´ılenéúloˇziˇstˇe.Velkézastoupen´ıtˇechto port˚unen´ına ˇskodu, protoˇzemnoho firem mánasazenu sluˇzbuActive Directory a jednáse o celkem bˇeˇznýprovoz vyskytuj´ıc´ıse na daných s´ıt´ıch. Hned v závˇesuse jednáo port ˇc´ıslo80, na kterémfunguje sluˇzbaHTTP, tedy výmˇenahypertextových dokument˚uve formátuHTML. To je dánot´ım,ˇzestudenti ˇcastohledaj´ına internetu informace pro studijn´ıúˇcely, coˇzkoreluje i s velkýmzastoupen´ımpˇrenáˇsených soubor˚u.Jednáse hlavnˇeo r˚uznédokumenty a studijn´ımateriály, kterési studenti stahuj´ı.

42 Kapitola 6

Proveden´ıa v´ysledky vybran´ych test˚u

Vˇsechny následuj´ıc´ıtesty byly provedeny na poˇc´ıtaˇc´ıch Celouniverzitn´ıpoˇc´ı- taˇcovéstudovny MU s operaˇcn´ımsystémemMicrosoft Windows XP Profes- sional zapojených do gigabitovés´ıtˇe.Testovánobylo IDS zaˇr´ızen´ıKernun KNA Enterprise, na kterémje nainstalovánoperaˇcn´ısystémFreeBSD. IDS bylo zapojeno pˇr´ımodo s´ıtˇetak, aby veˇskerýprovoz smˇeˇrovanýmimo lokáln´ı s´ıt’ procházelpˇrestoto zaˇr´ızen´ı.Následuj´ıc´ıtesty byly provedeny v reˇzimu paketovéhofiltru bez pravidel. Aby se testy daly provésti v reˇzimu pa- ketovéhofiltru s filtrovac´ımi pravidly nebo reˇzimu IDS, bylo by potˇreba nastavit na IDS zaˇr´ızen´ıpravidla nutnápro provoz studovny. Tato nejsou triviáln´ıa za chodu studovny, kterámánepˇretrˇzitouotev´ırac´ıdobu, nen´ı vhodnétestovat, zda-li jsou nastavena správnˇea vˇsefunguje korektnˇe. Pro test s velkýmipakety nelze pouˇz´ıtpouze provoz, ve kterém budou pakety s nejvˇetˇs´ımoˇznoudélkou. K tomuto úˇceluby mohl poslouˇzitprovoz s pˇrenosemsouboru, kde by pakety byly nejvˇetˇs´ı.Aby se zvˇetˇsilapr˚umˇerná velikost paket˚u,musely by se odstranit malépakety, kteréTCP protokol pouˇz´ıvák potvrzen´ısprávnéhopˇrenosudat. Provoz bez tˇechto potvrzovac´ıch paket˚uale nepropust´ıtestovanézaˇr´ızen´ı,protoˇzev reˇzimu paketovéhofiltru takovýprovoz oznaˇcujeza nesprávný. Dalˇs´ıpˇrekáˇzkou by mohla býtomezenávýkonnost firewallu, jenˇzse stará o bezpeˇcnost poˇc´ıtaˇc˚una studovnˇe.Tyto obavy se ale v závˇerunepotvrdily. Pro testován´ımaximáln´ıhopoˇctusouˇcasných spojen´ıje potˇrebam´ıtk dispozici výkonnýwebovýserver, ale pouˇzit´ınˇekterého funguj´ıc´ıhoby mohlo véstk omezen´ıjeho dostupnosti. Tento test nebyl proveden. Testy pro jinénastaven´ıIDS zaˇr´ızen´ıby prob´ıhalytotoˇznˇejako v reˇzimu paketovéhofiltru bez pravidel.

43 KAPITOLA 6. PROVEDEN´IAVYSLEDKY´ VYBRANYCH´ TESTU˚

6.1 Test stahov´an´ı

Tento test slouˇzilhlavnˇejako kontrola funkˇcnostiprogramu Kernun GUI, zda-li se bez problém˚upˇripoj´ı k testovanému zaˇr´ızen´ı a jestli budou na výstupn´ıch grafech tohoto programu vidˇetzmˇeny v zátˇeˇzis´ıtˇe,poˇctupˇrenese- ných bajt˚ua paket˚u. Pro jednoduˇsˇs´ıpouˇzit´ız pˇr´ıkazovéˇrádkybyl pouˇzit program wget. Usnadnil pouˇstˇen´ıv´ıcesouˇcasných stahován´ına vˇetˇs´ımpoˇctu poˇc´ıtaˇc˚u.Nejprve se na jednom poˇc´ıtaˇcipomoc´ıaplikace wget spustilo sta- hován´ısouboru popsanéhodˇr´ıve. Rychlost stahován´ıbyla kolem 10 MB/s a tato hodnota se taképrojevila na grafu zobrazenémv programu Ker- nun GUI. Bylo proto spuˇstˇenostahován´ına v´ıcepoˇc´ıtaˇc´ıch souˇcasnˇea ma- ximáln´ıhodnota, kterábyla vyˇctenaz grafu, kol´ısalakolem 250 MB/s. Aby se vylouˇcilanedostateˇcnákapacita serveru, na kterémje uloˇzenstahovaný soubor, bylo na dalˇs´ımpoˇc´ıtaˇcispuˇstˇenostahován´ıjinéhosouboru z internetu. Rychlost se ani tak nezmˇenilaa na vˇsech ostatn´ıch poˇc´ıtaˇc´ıch tedy klesla. Výslednámaximáln´ıhodnota skonˇcilana 250 MB/s. Uˇceltestu´ byl splnˇen.Byla potvrzena funkˇcnostaplikace Kernun GUI a správnézapojen´ı testovanéhozaˇr´ızen´ıIDS Kernun v s´ıti.Veˇskerýprovoz procházelpˇres toto zaˇr´ızen´ı.

6.2 Test instalace

Dalˇs´ıv poˇrad´ıbylo zat´ıˇzen´ıtestovanéhoIDS pomoc´ıbezobsluˇznévzdálené instalace operaˇcn´ıhosystému Windows XP Professional, automatickéhopˇri- dán´ıdo domény a následnéinstalace softwaru pomoc´ısluˇzby Active Direc- tory a jej´ıch politik. Tento test byl proveden na 26 poˇc´ıtaˇc´ıch. Instalace je provádˇenapomoc´ınástroje OPSI. S´ıt’ovékarty jsou nastaveny do reˇzimu PXE, ve kterémje poˇc´ıtaˇcschopen nastartovat systémze s´ıtˇe.V tomto momentˇesi z OPSI serveru stáhne obraz linuxovédistribuce Debian a potése zaˇcnoustahovat konkrétn´ıinstalaˇcn´ısoubory operaˇcn´ıho systému Windows XP Professional. Obraz linuxovédistribuce je stahován pomoc´ıprotokolu TFTP (jednáse o UDP provoz) a soubory operaˇcn´ıho systému jsou stahovány implementac´ı Samba protokolu SMB (TCP provoz). Na následuj´ıc´ıch grafech je stahován´ılinuxovédistribuce zaznamenáno v obdob´ı11:00-11:25 hod. Potése instaluje samotnýoperaˇcn´ısystéma na s´ıt’ poˇc´ıtaˇcenepotˇrebuj´ıpˇristupovat. Instalace operaˇcn´ıhosystému trvácca 40 minut. Automaticky spuˇstˇenýskript po instalaci pˇridápoˇc´ıtaˇcdo domény a d´ıkytomu se pomoc´ıpolitik sluˇzby Active Directory zaˇcneinstalovat software – to znamenástahován´ı bal´ık˚uMSI (Microsoft Windows Installer) z datovéhoúloˇziˇstˇenebo instalace pomoc´ıskript˚upˇristupuj´ıc´ıch na úloˇziˇstˇe. Jednáse o protokol SMB. Na grafech odpov´ıdátoto obdob´ıˇcasu11:50-12:30 hod.

44 KAPITOLA 6. PROVEDEN´IAVYSLEDKY´ VYBRANYCH´ TESTU˚

Na grafu z obrázkuˇc´ıslo6.1 je vidˇetpr˚ubˇehstahován´ıobrazu Debianu a in- stalaˇcn´ıch soubor˚uOS (11:00-11:25). Maximáln´ıdosaˇzenáhodnota je 235,09 Mbps.

Obr´azek6.1: Pr˚ubˇehinstalace OS v bitech za sekundu.

Obrázekˇc´ıslo6.2 ukazuje totéˇz,pouze jsou zde poˇc´ıtány pakety za sekundu. Maximáln´ıhodnota je 21 270 paket˚u.

Obr´azek6.2: Pr˚ubˇehinstalace OS v paketech za sekundu.

Na obrázc´ıch ˇc´ıslo6.3 a 6.4 lze vidˇetpr˚ubˇehinstalace softwaru. Tato fáze odpov´ıdáobdob´ımezi 11:50 aˇz12:30. Nezaˇcalaprob´ıhatna vˇsech poˇc´ıtaˇc´ıch souˇcasnˇe,ale instaluje se asi 40 program˚u,takˇzekolem ˇcasu12:10 data sta- hovalo s jistotou vˇsech 26 poˇc´ıtaˇc˚usouˇcasnˇe.

Z grafu na obr´azkuˇc´ıslo6.3 je vidˇetpoˇcetbit˚uza sekundu bˇeheminstalace softwaru. Maxim´aln´ıhodnota je 367,76 Mbps.

45 KAPITOLA 6. PROVEDEN´IAVYSLEDKY´ VYBRANYCH´ TESTU˚

Obr´azek6.3: Pr˚ubˇeh instalace softwaru v bitech za sekundu.

Na obrázkuˇc´ıslo6.4 je totéˇzv paketech za sekundu. Zde je maximáln´ıhod- nota 32 270 paket˚u.

Obr´azek6.4: Pr˚ubˇehinstalace softwaru v paketech za sekundu.

Pod´ıvejme se nyn´ına obrázekˇc´ıslo6.5, jenˇzzobrazuje interval pˇetihodin, na kterémje zachycena jak instalace operaˇcn´ıhosystému, tak instalace program˚u. Udaje´ jsou v bitech za sekundu. Zde lze snadno vypozorovat, ˇzeinstalace operaˇcn´ıhosystému prob´ıhala pomaleji. Tento fakt je velmi pravdˇepodobnˇezp˚usoben t´ım,ˇze OPSI server pro distribuci instalaˇcn´ıch soubor˚uje pouze jeden a je um´ıstˇenv pro- storách Ustavu´ výpoˇcetn´ıtechniky[45], kdeˇztoDFS (Distributed File Sys- tem) úloˇziˇstˇeprogram˚uje fyzicky um´ıstˇenov prostorách Celouniverzitn´ı poˇc´ıtaˇcovéuˇcebny MU a obsluhuj´ıjej dva servery vyuˇz´ıvaj´ıc´ıreˇzimNLB

46 KAPITOLA 6. PROVEDEN´IAVYSLEDKY´ VYBRANYCH´ TESTU˚

(Network Load Balancing)[46]. NLB slouˇz´ık vyvaˇzov´an´ız´atˇeˇzena v´ıceser- ver˚uvytvoˇren´ımclusteru.

Obr´azek6.5: Pr˚ubˇehinstalace softwaru a OS v bitech za sekundu.

Nelze ani vylouˇcit,ˇzedostateˇcnývýkon nemái DFS úloˇziˇstˇea namˇeˇrenéhod- noty bˇeheminstalace softwaru nemus´ıbýtlimitn´ıpro testovanéIDS Kernun. Kteráz tˇechto dvou variant je pravdivábude ovˇeˇrenopomoc´ınásleduj´ıc´ıho testu pos´ılán´ıreálnéhoprovozu do s´ıtˇe.

6.3 Test pos´ıl´an´ıdat

Tento test byl proveden pomoc´ınástroje tcpreplay. Maximáln´ıhodnota propustnosti byla dosaˇzenapˇrivyuˇzit´ı 12 poˇc´ıtaˇc˚u.Pokud se provoz spustil z v´ıce poˇc´ıtaˇc˚u,hodnoty se jiˇznezmˇenilya maximáln´ı rychlost z˚ustala totoˇzná. K proveden´ıtestu byla vyuˇzitaaplikace tcpreplay nainstalovanáv prostˇre- d´ı programu cygwin. Cygwin byl v prvn´ı fázinahránna pˇetpoˇc´ıtaˇc˚uve studovnˇe,aby byla odzkouˇsenafunkˇcnosttestu. Pomoc´ıprogram˚u tcpprep a tcprewrite byly na kaˇzdémz nich zmˇenˇeny adekvátnˇeIP a MAC adresy postupem popsanýmvýˇsea byl spuˇstˇenpˇr´ıkaz: tcpreplay --intf1=%0 -t --loop=5 final.pcap, kde pˇrep´ınaˇc intf1 urˇcujes´ıt’ovou kartu (v prostˇred´ı cygwin je odkazována pomoc´ı znaku %, odkaz lze zjistit pomoc´ı pˇrep´ınaˇce listnics), pˇrep´ınaˇc t zajist´ıpˇrehrán´ıprovozu nejvyˇsˇs´ırychlost´ıa pˇrep´ınaˇc loop poˇslesoubor final.pcap pˇetkrátza sebou. Smyˇcka pˇetiopakován´ıbyla pouˇzita,aby bylo moˇznéspustit tcpreplay na v´ıcepoˇc´ıtaˇc´ıch souˇcasnˇe.T´ımto bylo zajiˇstˇeno, aby byly data pos´ılány ze vˇsech poˇc´ıtaˇc˚usouˇcasnˇepo delˇs´ıˇcasovéobdob´ı. Protoˇze cygwin je pouze nahrazen´ımlinuxovéhoprostˇred´ı,komunikace s hardwarem poˇc´ıtaˇceneprob´ıhápˇr´ımoa je zpomalena t´ımto prostˇred´ım,je

47 KAPITOLA 6. PROVEDENÍAVYSLEDKY´ VYBRANYCH´ TESTU˚ maximáln´ırychlost odes´ılan´ıdat omezena hodnotou 50 Mbps. Pˇripouˇzit´ı tcpreplay pˇr´ımona linuxovémoperaˇcn´ımsystému je rychlost násobnˇevyˇsˇs´ı. Pro test to znamenápouˇzit´ıv´ıcepoˇc´ıtaˇc˚u.Pˇreinstalacena linuxovýoperaˇcn´ı systémna studovnˇenebyla moˇzná.V úvahu pˇripadalopouˇzit´ılive cd, ale snahou bylo vyuˇz´ıtpouze prostˇred´ıMicrosoft Windows, kterýpouˇz´ıváCe- louniverzitn´ıpoˇc´ıtaˇcovástudovna MU. Vˇsefungovalo podle pˇredpoklad˚ua postupnˇebyl zvyˇsovánpoˇcetpoˇc´ıtaˇc˚u, aby bylo dosaˇzenomaximáln´ıhozat´ıˇzen´ıs´ıtˇe.Pˇridán´ımtˇrináctéhopoˇc´ıtaˇce se jiˇzhodnota udávanáv grafu Kernun GUI popisuj´ıc´ıms´ıt’ovérozhran´ı nezmˇenila.

Na obrázkuˇc´ıslo6.6 vid´ımevýsledektestu v bitech za sekundu. Graf zobrazuje intern´ıs´ıt’ovérozhran´ıa modrákˇrivka zobrazuje mnoˇzstv´ıdat, která jsou odes´ılánaz testovac´ıch poˇc´ıtaˇc˚u.Maximáln´ıdosaˇzenáhodnota je 549,33 Mbps.

Obr´azek6.6: Test pos´ıl´an´ıdat na intern´ımrozhran´ıv bitech za sekundu.

Na obrázkuˇc´ıslo6.7 vid´ımevýsledektestu v paketech za sekundu taktéˇz na intern´ımrozhran´ıIDS Kernun. Maximáln´ıdosaˇzenáhodnota je 143 010 paket˚uza sekundu. Tato hodnota je neoˇcekávanˇevysoká,bˇeˇznéjsou ma- ximáln´ıhodnoty kolem 80 000 paket˚uza sekundu.

Obrázkyˇc´ıslo6.8 a 6.9 ukazuj´ıextern´ıs´ıt’ovérozhran´ıa zelenákˇrivka zobrazuje odeslanádata ven ze s´ıtˇe.Maximáln´ıhodnoty jsou zde 548,38 Mbps a 142 990 paket˚uza sekundu. Ztrátadat na testovanémzaˇr´ızen´ıje naprosto minimáln´ıa je moˇzné,ˇzevznikla v rámcibˇeˇzného provozu prob´ıhaj´ıc´ıhona studovnˇea nikoliv v odes´ılaných datech.

48 KAPITOLA 6. PROVEDEN´IAVYSLEDKY´ VYBRANYCH´ TESTU˚

Obr´azek6.7: Test pos´ıl´an´ıdat na intern´ımrozhran´ıv paketech za sekundu.

Obr´azek6.8: Test pos´ıl´an´ıdat na extern´ımrozhran´ıv bitech za sekundu.

49 KAPITOLA 6. PROVEDEN´IAVYSLEDKY´ VYBRANYCH´ TESTU˚

Obr´azek6.9: Test pos´ıl´an´ıdat na extern´ımrozhran´ıv paketech za sekundu.

Pˇripos´ılán´ıdat pomoc´ıpoˇc´ıtaˇc˚ubyla souˇcasnˇetestovánaodezva jak zaˇr´ızen´ı Kernun, tak brány lokáln´ıs´ıtˇe. Pˇridáván´ımpoˇc´ıtaˇc˚uodes´ılaj´ıc´ıch data se prodluˇzovala doba odezvy u obou zaˇr´ızen´ı.Kernun ovˇsemodpov´ıdals pr˚u- mˇernouhodnotou vyˇsˇs´ıneˇzbránaa pˇrimaximáln´ımzat´ıˇzen´ıs´ıtˇepˇrestal odpov´ıdat úplnˇe,kdeˇztobránaalespoˇnˇcásteˇcnˇeodpov´ıdala. Na základˇe tˇechto informac´ılze vyvodit závˇer,ˇzebylo dosaˇzenomaximáln´ıpropustnosti zaˇr´ızen´ıKernun IDS. Varianta Enterprise spoleˇcnostiKernun je dle výrobce koncipovánapro s´ıtˇes pˇripojen´ım500 Mbps s aˇz500 uˇzivateli. Maximáln´ınamˇeˇrenáhodnota propustnosti byla cca 550 Mbps, odpov´ıdátedy hodnotˇeudávanévýrobcem a m˚uˇzebýtpovaˇzovánaza maximáln´ıpropustnost IDS v kombinaci reˇzimu paketovéhofiltru bez pravidel a pr˚umˇernˇevelkých paket˚uv provozu.

50 Kapitola 7

Z´avˇer

C´ılem prácebylo navrhnout metodiku testován´ı IDS zaˇr´ızen´ı. Prostudo- val jsem, jakémarketingovéparametry u svých výrobk˚uuvád´ınejznámˇejˇs´ı výrobci IDS a shrnul je do tabulky. Na základˇetˇechto informac´ıjsem vybral nejv´ıcese vyskytuj´ıc´ıparametry. Provedl jsem analýzujiˇznavrˇzených me- todik pro testován´ısystém˚una detekci s´ıt’ových útok˚ua prozkoumal jsem nˇekteréprovedenétesty. Data potˇrebnák proveden´ıtest˚ubyla klasifikována do ˇctyˇrtˇr´ıd,ze kterých jsem vybral, dle méhonázoru,nejlepˇs´ıvariantu. Tou je pouˇzit´ıreálnéhoprovozu, kterýbude upraven pro opˇetovnéposlán´ı. Provedl jsem testy slouˇz´ıc´ık odzkouˇsen´ıpotˇrebnéhosoftwaru a výsledný test na zjiˇstˇen´ımaximáln´ıpropustnosti zaˇr´ızen´ıKernun KNA Enterprise. Zaˇr´ızen´ı bylo v reˇzimu paketovéhofiltru bez pravidel a byly pouˇzity pakety pr˚umˇernévelikosti. Výsledkem testu byl dosaˇzenvýsledek550 Mbps, kterýje limitn´ıpro testovanézaˇr´ızen´ı.Výslednáhodnota je m´ırnˇevyˇsˇs´ı,neˇz doporuˇcovanámaximáln´ıpropustnost s´ıtˇeod výrobce, kteráje 500 Mbps. Domn´ıvámse, ˇzenavrˇzenoumetodiku testu lze pouˇz´ıtpro testován´ıIDS zaˇr´ızen´ı. Metodika testován´ı IDS zaˇr´ızen´ı je velmi komplexn´ı a navrˇzenétesty mohou poslouˇzitjako základpro dalˇs´ıupˇresnˇen´ıvýsledk˚ua rozˇs´ıˇren´ıtest˚u. Ideálemby bylo vytvoˇritsadu test˚u,jeˇzby bylo moˇznépouˇz´ıtna jakékoliv zaˇr´ızen´ıa kteráby nezvýhodˇnovala ani nediskriminovala ˇzádnéIDS.

51 Literatura

[1] Athanasiades, N., Abler, R., Levine, J., Owen, H., Riley, G., Intru- sion detection testing and benchmarking methodologies, Information Assurance, 2003, IWIAS 2003. Proceedings. First IEEE International Workshop on 24 March 2003 [2] Peter Mell, Vincent Hu, Richard Lippmann, Josh Haines, Marc Zissman, An Overview of Issues in Testing Intrusion Detection Sys- tems, NIST IR 7007 Jun 2003 [3] Karen Scarfone, Peter Mell, Guide to Intrusion Detection and Preven- tion Systems (IDPS), NIST Special Publication 800-94, February 2007 [4] Aprias, Roman, IDS, dostupné z www: http://www.cs.vsb.cz/ grygarek/SPS/projekty0405/IDS/ids.html (7. 12. 2010) [5] Magalhaes, Ricky M., Host-Based IDS vs Network-Based IDS (Part 1), dostupnéz www: http://www.windowsecurity.com/articles/Hids_ vs_Nids_Part1.html, Jul 10, 2003 (7. 12. 2010) [6] Cisco Systems, Inc., Catalyst Switched Port Analyzer (SPAN) Configuration Example – Cisco Systems, dostupné z www: http://www.cisco.com/en/US/products/hw/switches/ps708/ products_tech_note09186a008015c612.shtml, (7. 12. 2010) [7] Check Point Software Technologies, Inc., Total Security Products — Check Point Software, dostupné z www: http://www.checkpoint. com/products/index.html (7. 12. 2010) [8] Cisco Systems, Inc., Products & Services – Cisco Systems, dostupné z www: http://www.cisco.com/en/US/products/index.html (7. 12. 2010)

[9] McAfee, Inc., McAfee R – enterprise – McAfee Firewall Enterprise, dostupn´ez www: http://www.mcafee.com/us/enterprise/products/ network_security/firewall_enterprise.html (7. 12. 2010) [10] Astaro GmbH & Co. KG, The Astaro Product Portfolio, dostupn´e z www: http://www.astaro.com/products (7. 12. 2010)

52 LITERATURA

[11] Fortinet, Inc., Fortinet, Inc. : Network Security Tools — Network Security Hardware — Network Security Appliances, dostupn´ez www: http://www.fortinet.com/products/ (7. 12. 2010) [12] Juniper Networks, Inc., Products and Services – Network Security Products and Services – Juniper Networks, dostupn´ez www: http: //www.juniper.net/us/en/products-services/(7.12.2010

[13] Trusted Network Solutions, a. s., Uvod´ , dostupnéz www: http://www. tns.cz/ (7. 12. 2010), November 18, 2010 [14] Desai, Marmagna, Survey – IDS testing, dostupné z www: http://web2.uwindsor.ca/courses/cs/aggarwal/cs60592/ IDSTesting.ppt (7. 12. 2010) [15] Zanero, Stefano, My IDS is better than yours!, dostupné z www: http://www.blackhat.com/presentations/bh-federal-06/ BH-Fed-06-Zanero.pdf (7. 12. 2010) [16] Cisco Systems, Inc. Capacity Cerification for High-Speed Network Intrusion Detection Systems, dostupnéz www: http://www.cisco. com/warp/public/cc/pd/sqsw/sqidsz/prodlit/capv_ai.pdf (7. 12. 2010)

[17] Lincoln Laboratory, Massachusetts Institute of Technology, MIT Lin- coln Laboratory, http://www.ll.mit.edu/index.html (7. 12. 2010)

[18] DARPA, DARPA — Home, http://www.darpa.mil/ (7. 12. 2010) [19] The NSS Group, Intrusion Detection Systems Group Test (Edition 2), December 2001, Oakwood House, Wennington, England

[20] Rain forest puppy, wiretrip.net - rain forest puppy, http://www. wiretrip.net/rfp/ (7. 12. 2010)

[21] Spirent Communications, SmartBits, http://www.spirent.com/ Solutions-Directory/Smartbits.aspx (7. 12. 2010)

[22] Neznámýautor, usage – Tcpreplay, http://tcpreplay.synfin.net/ wiki/usage#UsageExamples (7. 12. 2010) [23] Neznámý autor, Referenˇcn´ı model ISO/OSI dostupné z www: http://cs.wikipedia.org/wiki/Referen\%C4\%8Dn\%C3\%AD_ model_ISO/OSI (7. 12. 2010) [24] Ptacek, Thomas H., Newsham, Timothy N., Insertion, Evasion and Denial of Service: Eluding Network Intrusion Detection, dostupné z www: http://cs.unc.edu/~fabian/course_papers/ PtacekNewsham98.pdf, January 1998 (7. 12. 2010)

53 LITERATURA

[25] Techworld, ISS Reports Snort Vulnerability, dostupn´e z www: http://news.techworld.com/security/11/ iss-reports-snort-vulnerability/ (7. 12. 2010)

[26] Wireshark, Wireshark • Go Deep., dostupn´e z www: http://www. wireshark.org/ (7. 12. 2010)

[27] Tcpdump/Libpcap, TCPDUMP/LIBPCAP public repository, dostupn´e z www: http://www.tcpdump.org/ (7. 12. 2010)

[28] Neznámýautor, pcap, dostupnéz www: http://en.wikipedia.org/ wiki/Pcap (7. 12. 2010)

[29] Haas, Herbert, perihel – closer to the sun, dostupn´ez www: http: //www.perihel.at/sec/mz/ (7. 12. 2010)

[30] Neznámýautor, Iperf, dostupnéz www: http://iperf.sourceforge. net/ (7. 12. 2010)

[31] The Apache Software Foundation, ab – Apache HTTP server benchmarking tool, dostupn´ez www: http://httpd.apache.org/docs/ 2.0/programs/ab.html (7. 12. 2010)

[32] Tenable Network Security, the Network Vulneraibility Scanner, dostupn´ez www: http://www.nessus.org/nessus/intro.php (7. 12. 2010)

[33] Rapid7, Penetration Testing — The Metasploit Project, dostupn´e z www: http://www.metasploit.com/ (7. 12. 2010)

[34] Trusted Network Solutions, a.s, Kernun GUI Setup, dostupn´ez www: http://download.kernun.com/sw/demo/3.2/KernunGUISetup-3.2. 1-H5.exe (7. 12. 2010)

[35] Trusted Network Solutions, a. s., Kernun Handbook, dostupn´e z www: http://download.kernun.com/doc/handbook.pdf, November 18, 2010, (7. 12. 2010)

[36] Neznámý autor, PuTTY: a free telnet/ssh client, dostupné z www: http://www.chiark.greenend.org.uk/~sgtatham/putty/ download.html (7. 12. 2010)

[37] Neznámýautor, PuTTY Donwload Page, dostupnéz www: http:// www.chiark.greenend.org.uk/~sgtatham/putty/download.html (7. 12. 2010)

[38] Free Software Foundation, Inc., GNU Wget, dostupn´ez www: http: //www.gnu.org/software/wget/ (7. 12. 2010)

54 LITERATURA

[39] Masarykova Univerzita, Celouniverzitn´ıpoˇc´ıtaˇcov´astudovna MU, dostupn´ez www: http://www.muni.cz/ics/services/ups/cps/ (7. 12. 2010)

[40] opsi.org, opsi.org, dostupn´ez www: http://opsi.org/ (7. 12. 2010)

[41] Red Hat, Inc., Cygwin, dostupn´ez www: http://www.cygwin.com/ (7. 12. 2010)

[42] Computer Engineering Research Group, Computer Engineering Re- search Group, dostupné z www: http://www.eecg.utoronto.ca/ ~aamodt/ece242/cygwin.html (7. 12. 2010) [43] Neznámý autor, tcpreplay and cygwin, dostupné z www: http:// tcpreplay.synfin.net/browser/trunk/docs/Win32Readme.txt (7. 12. 2010)

[44] Neznámý autor, Active Directory, dostupné z www: http://cs. wikipedia.org/wiki/Active_Directory (7. 12. 2010)

[45] Masarykova Univerzita, Ustav´ v´ypoˇcetn´ı techniky, dostupn´ez www: http://www.muni.cz/ics (7. 12. 2010)

[46] Microsoft, Network Load Balancing Technical Overview, dostupn´e z www: http://technet.microsoft.com/en-us/library/bb742455. aspx (7. 12. 2010)