Masarykova univerzita }w¡¢£¤¥¦§¨ Fakulta informatiky !"#$%&'()+,-./012345<yA| Testov´an´ıpropustnosti IDS Diplomova´ prace´ Jakub Dobrovoln´y Brno, 2011 Prohl´aˇsen´ı Prohlaˇsuji,ˇzetato pr´aceje m´ymp˚uvodn´ımautorsk´ymd´ılem,kter´ejsem vypracoval samostatnˇe.Vˇsechny zdroje, prameny a literaturu, kter´ejsem pˇrivypracov´an´ıpouˇz´ıval nebo z nich ˇcerpal,v pr´aciˇr´adnˇecituji s uveden´ım ´upln´ehoodkazu na pˇr´ısluˇsn´yzdroj. Jakub Dobrovoln´y Podˇekov´an´ı R´adbych zde podˇekoval sv´emu vedouc´ımu pr´aceRNDr. V´aclavu Lorencovi a konzultantovi Mari´anovi Krˇcm´arikovi za vstˇr´ıcn´ypˇr´ıstup,rady a pˇripom´ınky pˇriˇreˇsen´ım´ediplomov´epr´acea pˇredevˇs´ımza ˇcas,kter´ymi vˇenovali. D´ale bych velmi r´adpodˇekoval sv´erodinˇeza podporu a motivaci v nejtˇeˇzˇs´ıch chv´ıl´ıch a tak´esv´ympˇr´atel˚um.Dˇekuji. Shrnut´ı Pˇriprodeji nebo koupi nˇejak´ehov´yrobkuje d˚uleˇzit´eo nˇemzn´atco nejv´ıce ´udaj˚u.Tato pr´acese zab´yv´ametodikou pro testov´an´ısyst´em˚una detekci s´ıt'ov´ych pr˚unik˚u,kter´alze pouˇz´ıtna jak´emkoliv syst´emu, bez ohledu na jeho v´yrobce. Jsou probr´any r˚uzn´en´astroje vhodn´ek proveden´ınavrhovan´ych test˚ua na z´avˇerje nˇekolik test˚uprovedeno na v´yrobkuKernun a dosaˇzen´e v´ysledkyshrnuty. Kl´ıˇcov´aslova propustnost, Intrusion Detection System, IDS, syst´emna detekci s´ıt'ov´ych ´utok˚u,Kernun, tcpprep, tcpreplay, tcprewrite, wireshark Obsah 1 Uvod´ 10 1.1 Ofici´aln´ızad´an´ıpr´ace . 11 2 Syst´emy na detekci s´ıt'ov´ych pr˚unik˚u 12 2.1 Co jsou ID(P)S . 12 2.2 D˚uleˇzit´eterm´ıny . 12 2.3 Rozdˇelen´ıIDS . 13 2.3.1 Rozdˇelen´ıdle um´ıstˇen´ı. 13 2.3.2 Rozdˇelen´ıdle principu detekce . 16 2.3.3 Rozdˇelen´ıdle okamˇzikuvyhodnocov´an´ı . 16 2.3.4 Rozdˇelen´ına z´akladˇeaktivity . 17 3 Parametry v´yrobk˚uIDS a existuj´ıc´ızp˚usoby testov´an´ı 19 3.1 Pˇrehledparametr˚udle v´yrobc˚u. 19 3.2 Existuj´ıc´ıˇreˇsen´ı. 21 3.3 Definice typu testov´an´ı. 21 3.4 Kvantitativnˇemˇeˇriteln´echarakteristiky IDS . 22 3.4.1 Pokryt´ıhrozeb . 22 3.4.2 Pravdˇepodobnost faleˇsn´ych poplach˚u. 22 3.4.3 Pravdˇepodobnost detekce . 23 3.4.4 Odolnost proti ´utok˚umveden´ymna IDS . 23 3.4.5 Schopnost zvl´adnut´ıvelk´ehomnoˇzstv´ıprovozu . 23 3.4.6 Schopnost detekovat nov´e´utoky . 24 3.4.7 Dalˇs´ımˇeˇren´ı . 24 3.5 Testy IDS . 24 3.5.1 Obecn´ametodika . 24 3.5.2 MIT Lincoln Laboratory (MIT/LL) . 25 3.5.3 NSS Group . 25 3.6 Probl´emy pˇritestov´an´ı. 26 3.6.1 Probl´emsbˇeru´utok˚ua softwaru . 26 3.6.2 Rozd´ıln´epoˇzadavky na testov´an´ır˚uzn´ych typ˚uIDS . 26 3.6.3 Typ provozu pouˇzit´yv testech . 27 3.7 Navrhovan´yzp˚usobtest˚u . 28 6 OBSAH 4 Software pro testov´an´ı 30 4.1 Nachyt´an´ıre´aln´ehoprovozu . 30 4.1.1 Wireshark . 30 4.2 Generov´an´ıprovozu . 31 4.2.1 Mausezahn . 32 4.2.2 Iperf . 32 4.3 Poˇcetsouˇcasn´ych spojen´ı . 33 4.4 Utoky´ . 33 4.4.1 Nessus . 33 4.4.2 Metasploit . 34 4.5 Uprava´ a pˇrehr´an´ıprovozu . 34 4.6 Kernun GUI . 34 5 Potˇrebn´adata pro vybran´etesty 37 5.1 Test stahov´an´ı{ potˇrebn´adata . 37 5.2 Test instalace { potˇrebn´adata . 37 5.3 Test pos´ıl´an´ıdat { potˇrebn´adata . 38 5.3.1 Uprava´ uloˇzen´ych dat . 38 5.3.2 Statistika provozu s mal´ymipakety . 40 6 Proveden´ıa v´ysledkyvybran´ych test˚u 43 6.1 Test stahov´an´ı . 44 6.2 Test instalace . 44 6.3 Test pos´ıl´an´ıdat . 47 7 Z´avˇer 51 Literatura 52 7 Seznam obr´azk˚u 2.1 S´ıt'ov´eIDS. 13 2.2 Zapojen´ıpomoc´ıSPAN. 14 2.3 Hostitelsk´eIDS. 15 4.1 Jitter. 33 4.2 Kernun GUI. 35 4.3 Kernun GUI. 35 4.4 Kernun GUI. 36 6.1 Pr˚ubˇehinstalace OS v bitech za sekundu. 45 6.2 Pr˚ubˇehinstalace OS v paketech za sekundu. 45 6.3 Pr˚ubˇehinstalace softwaru v bitech za sekundu. 46 6.4 Pr˚ubˇehinstalace softwaru v paketech za sekundu. 46 6.5 Pr˚ubˇehinstalace softwaru a OS v bitech za sekundu. 47 6.6 Test pos´ıl´an´ıdat na intern´ımrozhran´ıv bitech za sekundu. 48 6.7 Test pos´ıl´an´ıdat na intern´ımrozhran´ıv paketech za sekundu. 49 6.8 Test pos´ıl´an´ıdat na extern´ımrozhran´ıv bitech za sekundu. 49 6.9 Test pos´ıl´an´ıdat na extern´ımrozhran´ıv paketech za sekundu. 50 8 Seznam tabulek 3.1 Parametry uv´adˇen´ejednotliv´ymiv´yrobci. 20 4.1 Provoz seˇrazen´ypodle c´ılov´ehoportu. 31 4.2 Provoz seˇrazen´ypodle protokolu. 31 5.1 Statistika velikosti TCP paket˚u.. 40 5.2 Statistika velikosti UDP paket˚u. 41 5.3 Statistika na z´akladˇeprotokolu. 41 5.4 Statistika na z´akladˇec´ılov´ehoportu. 41 9 Kapitola 1 Uvod´ N´arokyna spolehlivost a bezpeˇcnostpoˇc´ıtaˇcov´ych s´ıt´ıse v dneˇsn´ımsvˇetˇe neust´alezvyˇsuj´ı.Podniky jsou na funkˇcnostipoˇc´ıtaˇcov´es´ıtˇev´ıceˇcim´enˇe z´avisl´ea na z´akladˇetoho poˇzaduj´ıurˇcit´ystupeˇnzabezpeˇcen´ı.Ohroˇzeny jsou zejm´enakv˚uliobrovsk´emu mnoˇzstv´ıvir˚u,kter´ych dennˇemnoho pˇrib´yv´a,a tak´ehackery, kteˇr´ımaj´ıza c´ılpoˇskodit dobr´ejm´enofirmy, pˇr´ıpadnˇeodcizit d˚uleˇzit´aintern´ıdata a dokumenty. Jednou z moˇznost´ı,jak v´yraznˇeomezit toto riziko, je pouˇzit´ısyst´emu na detekci, ˇciprevenci, s´ıt'ov´ych ´utok˚u. C´ılemt´etopr´aceje zmapovat, jak´etechnick´eparametry u tˇechto v´yrobk˚u uv´ad´ır˚uzn´ıv´yrobci na trhu a jak´eexistuj´ızp˚usoby jejich testov´an´ı,a na z´akladˇet´etoanal´yzynavrhnout zp˚usob testov´an´ıtakov´ych s´ıt'ov´ych zaˇr´ızen´ı, a to zejm´enajejich propustnost a v´ykonnost. Vybran´etesty budou na z´avˇer prakticky provedeny a z´ıskan´ev´ysledkyshrnuty. Tato data usnadn´ıv´ybˇer bezpeˇcnostn´ıhoˇreˇsen´ıpro dan´ystupeˇnv´ykonnosti a bezpeˇcnostis´ıtˇe,na n´ıˇz bude pouˇz´ıv´ano. Pr´acitvoˇr´ısedm kapitol. Ve druh´ekapitole jsou bl´ıˇzepops´any syst´emy na detekci s´ıt'ov´ych ´utok˚u,jejich vlastnosti a r˚uzn´ezp˚usoby ochrany s´ıtˇe.Tˇret´ı kapitola analyzuje aktu´aln´ısituaci na trhu, uv´adˇen´eparametry u zaˇr´ızen´ı jednotliv´ych v´yrobc˚ua popis jiˇzexistuj´ıc´ıch ˇreˇsen´ıpro testov´anipropust- nosti a v´ykonnosti. Na z´akladˇetˇechto informac´ıjsou zde navrhnuty jednot- liv´etesty a jejich v´ystupn´ıdata. V kapitole 4 je pops´ansoftware, kter´yje moˇznovyuˇz´ıtpro proveden´ıjednotliv´ych test˚ua moˇznostitˇechto n´astroj˚u. Kapitola 5 se zab´yv´aprobl´ememz´ısk´an´ıs´ıt'ov´ehoprovozu, kter´yje pouˇzit k proveden´ınavrˇzen´ych test˚ua tak´ejeho ´upravou pro opakovan´epouˇzit´ı. V ˇsest´ekapitole je pops´anzp˚usobproveden´ıv´yˇsenavrˇzen´ych test˚ua jejich v´ysledky. Posledn´ıkapitola obsahuje shrnut´ıv´ysledk˚ua n´avrhy pro pˇr´ıpadn´e pokraˇcov´an´ıv dalˇs´ıpr´acina toto t´ema. 10 KAPITOLA 1. UVOD´ 1.1 Ofici´aln´ızad´an´ıpr´ace C´ılemje vytvoˇritmetodiku a postupy vhodn´epro ovˇeˇrov´an´ıv´ykonu a pro- pustnosti syst´em˚una detekci s´ıt'ov´ych pr˚unik˚utak, aniˇzby byla v´azan´ana v´yrobce jednoho syst´emu. To cel´eide´alnˇeza pomoci volnˇedostupn´ych n´astroj˚ua prostˇredk˚u.Po- psan´epostupy by mˇelyb´ytodzkouˇseny na IDS Kernun. 11 Kapitola 2 Syst´emy na detekci s´ıt'ov´ych pr˚unik˚u 2.1 Co jsou ID(P)S Syst´emna detekci s´ıt'ov´ych ´utok˚u(IDS[3] { Intrusion Detection System) je zaˇr´ızen´ı(nebo aplikace), kter´amonitoruje s´ıt' a/nebo syst´em,vyhled´av´a ˇskodliv´eaktivity nebo poruˇsen´ıbezpeˇcnostn´ıch z´asada vytv´aˇr´ızpr´avy, kter´e je schopn´epos´ılatspr´avcovsk´estanici nebo osobˇeodpovˇedn´eza bezpeˇcnostn´ı politiku s´ıtˇe.Detekce je proces monitorov´an´ıud´alost´ıv syst´emu poˇc´ıtaˇce nebo na s´ıti a jejich anal´yzaa hled´an´ı znak˚uud´alost´ı, kter´emohou b´yt poruˇsen´ımbezpeˇcnostn´ıch z´asad,pˇr´ıpadnˇepˇr´ımouzn´amkou ´utoku. Syst´emna prevenci s´ıt'ov´ych ´utok˚u(IPS[3] { Intrusion Prevention Sys- tem) prov´ad´ınejen detekci, ale pokouˇs´ıse i o zastaven´ıdetekovan´ych ´utok˚u. Syst´emy na prevenci s´ıt'ov´ych ´utok˚ujsou schopny na rozd´ılod IDS i pˇr´ımo reagovat na detekovan´ehrozby pomoc´ı zablokov´an´ı spojen´ı z nebezpeˇcn´e IP adresy nebo zmˇenoubezpeˇcnostn´ıhonastaven´ı(napˇr´ıkladpˇrenastaven´ı firewallu tak, aby stroj, ze kter´ehoje veden potenci´aln´ı´utok,byl po urˇcitou dobu v karant´enˇe). Tato pr´acese zamˇeˇr´ızejm´enana syst´emy na detekci s´ıt'ov´ych pr˚unik˚u. 2.2 D˚uleˇzit´eterm´ıny • False Positive { faleˇsn´ypoplach. Tento term´ınoznaˇcujelegitimn´ıpro- voz, kter´yje nespr´avnˇeoznaˇcen jako ´utoknebo potenci´aln´ıhrozba. • Jitter { kol´ıs´an´ızpoˇzdˇen´ıpaket˚upˇripr˚uchodu s´ıt´ı(vznik´anapˇr´ıklad na firewallech a IDS zaˇr´ızen´ıch). 12 KAPITOLA 2. SYSTEMY´ NA DETEKCI S´ITOVˇ YCH´ PRUNIK˚ U˚ 2.3 Rozdˇelen´ıIDS Syst´emy na detekci ˇciprevenci ´utok˚uje moˇzn´epodle nˇekter´ych sv´ych para- metr˚u,zp˚usobuprov´adˇen´ıanal´yzyprovozu ˇci m´ıstanasazen´ırozdˇelitn´asle- duj´ıc´ımzp˚usobem[4]. 2.3.1 Rozdˇelen´ıdle um´ıstˇen´ı S´ıt'ov´eIDS Senzory v s´ıt'ov´ych syst´emech jsou um´ıstˇeny na hranic´ıch s´ıtˇe,velmi ˇcasto v demilitarizovan´ych z´on´ach.