ProCurve Network Immunity Manager

Материал из Xgu.ru

Перейти к: навигация, поиск
stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.


Содержание

[править] Основная терминология

  • NBAD — Network Behavior Anomaly Detection
  • Signature-based detection
  • Animaly-based detection
  • UTM appliance — Unified Threat Management appliance

[править] Варианты внедрения

NIM поддерживает различные варианты внедрения:

  • NIM standalone
  • NIM + inline IPS
  • NIM + IDS:
    • Static mirroring
    • Dynamic mirroring — Unified solution

Поддерживаются такие устройства IDS/IPS:

  • Cisco IPS 4200 Series Sensors
  • Fortinet FortiGate UTM appliance
  • SonicWALL UTM appliances

На IDS/IPS должны быть такие настройки SNMP:

  • trap community public
  • IP-адрес PCM и порт 162

[править] Начальные настройки NIM

Настройки SNMP нужны, чтобы NIM:

  • Получал traffic samples от управляемых устройств
  • Находил offenders
  • Мог применять действия (actions) на устройствах

[править] Traffic sampling technology

Для обнаружения аномалий NIM использует технологии traffic sampling:

  • sFlow (использует порт 6343)
  • XRMON

Кроме того, NIM использует счетчики трафика:

  • счетчики sFlow
  • счетчики SNMP

[править] Default traffic sampling

PCM+ может получать traffic samples и counters от 500 источников (ports and radios).

Выбираются источники для отправки traffic samples по таким критериям (в порядке убывания важности):

  1. InterSwitch Link (ISL) versus edge port
  2. Link speed
  3. Link utilization
  4. Critical traffic threshold violations
  5. Warning traffic threshold violations
  6. Device processing power

[править] NBAD sensitivity

Чувствительность NBAD:

  • Насколько трафик может отличаться от установленной baseline
  • Отдельно настраивается для каждого типа событий NBAD

[править] Alerts

Виды alerts:

  • External alerts — инициированные IDS/IPS
  • ProCurve alerts:
    • NBAD alerts — срабатывают когда NBAD обнаруживает аномалии в traffic samples
    • Virus Throttle alerts — срабатывают при получении traps непосредственно от устройств в сети

[править] NBAD event types

NIM ищет различные аномалии в samples трафика, которые ему отправляет sFlow и XRMON. Эти аномалии называются NBAD event types и бывают такие:

  • Duplicate IP
  • IP spoofing
  • IP fanout
  • TCP/UDP fanout
  • Packet size deviation
  • DNS tunneling
  • Protocol anomaly


[править] Duplicate IP

Название события Описание события Данные, которые анализируются Чувствительность Временное окно
Duplicate IP Два отправителя с различными MAC-адресами используют один IP-адрес в указанный период времени
  • MAC-адрес отправителя
  • IP-адрес отправителя
1 1 минута
2 15 минут
3 60 минут
4 3 часа
5 24 часа


[править] IP spoofing

Название события Описание события Данные, которые анализируются Чувствительность Временное окно
IP Spoofing Отправитель с определенным MAC-адресом использует два или более IP-адреса в указанный период времени
  • MAC-адрес отправителя
  • IP-адрес отправителя
1 1 минута
2 15 минут
3 60 минут
4 3 часа
5 24 часа


[править] IP fanout

Название события Описание события Данные, которые анализируются Чувствительность Количество IP-адресов получателя (X) Временное окно (Y)
IP fanout Отправитель с определенным IP-адресом контактирует с X IP-адресами за время Y
  • IP-адрес отправителя
  • IP-адрес получателя
1 256 1 минута
2 128 5 минут
3 96 10 минут
4 32 15 минут
5 3 30 минут


[править] TCP/UDP fanout

Название события Описание события Данные, которые анализируются Чувствительность Количество IP-адресов получателя (X) Временное окно (Y)
TCP/UDP fanout Отправитель с определенным IP-адресом контактирует с X портами одного и того же IP-адреса получателя за время Y
  • IP-адрес отправителя
  • IP-адрес получателя
  • TCP или UDP получателя
1 256 1 минута
2 128 5 минут
3 10 10 минут
4 5 15 минут
5 2 30 минут


[править] Packet size deviation

Название события Описание события Данные, которые анализируются Чувствительность Допустимое отклонение (X)
Packet size deviation Средне значение размера пакета изменяется более чем в X стандартных отклонений (SD)
  • Размер пакетов проходящих через конкретный порт
1 6 SD
2 5 SD
3 4 SD
4 3 SD
5 2 SD

[править] DNS tunneling

Использование протокола DNS для передачи данных других протоколов.

[править] Protocol anomaly

Изменение чувствительности не влияет на события protocol anomaly.

Аномалия протокола Угроза
IcmpAddressMaskReply DoS-атака
IcmpAddressMaskReply DoS-атака
IcmpAddressMaskRequest DoS-атака
IcmpFragmentedTraffic DoS-атака (Fragmentation attack) или covert channel
IcmpHostUnreachable Network reconnaissance
IcmpInformationReply DoS-атака
IcmpLargeTraffic DoS-атака
IcmpParameterProblem DoS-атака
IcmpPingOfDeath DoS-атака (Ping of Death)
IcmpRedirect DoS-атака
IcmpTimeExceeded DoS-атака
IcmpTimestampReply DoS-атака
IcmpTimestampReques DoS-атака
IpBothAddressesIdentical DoS-атака (Land attack)
IpOptionLooseSourceRoute Неправильно настроенное устройство
IpOptionRecordRoute Неправильно настроенное устройство
IpOptionStreamIdentifier Неправильно настроенное устройство
IpOptionSecurity Неправильно настроенное устройство или устройство на котором работает PIM или IGMP
IpOptionStrictSourceRoute Неправильно настроенное устройство
IpOptionTimestamp Неправильно настроенное устройство
IpUnknownProtocol Covert channel или устройство на котором работает PIM или IGMP
TcpFlagsAllBitsSet Сканирование портов (XMAS tree)
TcpFlagsFinSetButNoAck Сканирование портов (TCP FIN)
TcpFlagsNoBitsSet Сканирование портов (TCP NULL)
TcpFlagsSynFinBitsSet Сканирование портов (SYN и FIN TCP scan)
UdpBomb DoS-атака (UDP bomb)
UdpCharacterGeneration DoS-атака (Chargen)
UdpSnork DoS-атака (Snork)

[править] Атаки

NIM тестировался на обнаружение таких атак:

  • Различные техники сканирования портов
  • Разведка и сбор информации о сети перед атакой с помощью различных утилит
  • DoS-атаки
  • Другие сетевые атаки
  • Неправильно настроенные устройства

[править] Сканирование портов

NIM обнаруживает такие техники сканирования портов:

  • Xmas tree scan
  • NULL scan
  • FIN scan
  • TCP scan (SYN and FIN flags on)

[править] Типы событий NBAD, которые соответствуют сканированию портов

Сканированию портов соответствуют такие NBAD event types:

  • Protocol anomaly:
Аномалия протокола Техника сканирования портов
TcpFlagsAllBitsSet Сканирование портов (XMAS tree)
TcpFlagsFinSetButNoAck Сканирование портов (TCP FIN)
TcpFlagsNoBitsSet Сканирование портов (TCP NULL)
TcpFlagsSynFinBitsSet Сканирование портов (SYN и FIN TCP scan)
  • Возможно, TCP/UDP fanout. Чаще всего, если обнаружены такие характеристики:
    • Один атакующий (атака с одного IP-адреса)
    • Много случайных destination TCP-портов
  • Возможно, IP fanout. Чаще всего, если обнаружены такие характеристики:
    • Один атакующий (атака с одного IP-адреса)
    • Много destination портов

[править] Разведка и сбор информации о сети перед атакой

NIM обнаруживает использование таких утилит:

  • Nessus
  • Network Mapper (Nmap)
  • Ping

[править] Типы событий NBAD, которые соответствуют разведке и сбору информации о сети

Такие события NBAD могут свидетельствовать о том, что выполняется сканирование с помощью Nessus или NMAP:

  • TCP/UDP fanout с такими характеристиками:
    • Один атакующий (атака с одного IP-адреса)
    • Много целей
    • Много по-видимому случайных destination TCP-портов. Если атакующего интересуют конкретные сервисы, то в качестве destination портов могут быть такие порты:
      • HTTP (80)
      • FTP (21)
      • SSH (22)
      • Telnet (23)
      • SMTP (25)
      • POP (109 и 110)
      • IMAP (143)
  • IP fanout с такими характеристиками:
    • Один атакующий (атака с одного IP-адреса)
    • Много destination портов или часто используемые порты
  • Возможно, protocol anomaly:
    • TCP anomalies
    • ICMP Echo anomalies

[править] DoS-атаки

NIM обнаруживает такие DoS-атаки:

  • UDP bomb
  • LAND attack
  • Ping of death
  • Fragmentation attacks

[править] Типы событий NBAD, которые соответствуют DoS-атакам

UDP bomb — атака основана на отправке UDP-пакета в заголовке которого указана неправильная длина пакета. При получении такого пакета некоторые системы могут выйти из строя, при попытке обработать такой пакет.

Индикатором атаки UDP bomb будет NBAD событие UDPBomb.

LAND attack — атакующий отправляет TCP-пакет с флагом SYN на открытый порт целевой системы. IP-адрес и порт отправителя подменены таким образом, что совпадают с адресом и портом целевой системы. Эта атака на некоторых системах может вызвать зацикливание и выход из строя.

О выполнении этой атаки могут свидетельствовать такие типы событий NBAD:

  • IpBothAddressesIdentical
  • Возможно, IP spoofing
  • Возможно, duplicate IP

Ping of death — атака заключается в отправке ICMP пакета размером более чем 65535 байт. По сети такой пакет передается фрагментированным, а система получателя начинает собирать его и при это может выйти из строя.

Индикатором атаки Ping of death будет NBAD событие IcmpPingOfDeath .

Fragmentation attacks — атаки нацеленные на отправку больших пакетов, возможно, с неправильными опциями в пакете. Такие пакеты могут привести к выходу из строя системы получателя, которая пытается собрать пришедшие пакеты.

Индикатором Fragmentation атак будет NBAD событие IcmpFragmentedTraffic.

[править] Другие сетевые атаки

  • DNS tunneling
  • IP spoofing
  • Various worm propagation techniques

[править] Типы событий NBAD, которые соответствуют другим сетевым атакам

DNS tunneling — использование протокола DNS для передачи данных других протоколов.

О выполнении этой атаки могут свидетельствовать такие типы событий NBAD:

  • DNS tunneling
  • Другие признаки:
    • Источник события DNS tunneling не является DNS-сервером или почтовым сервером (DNS-сервера и почтовые сервера лучше исключить из проверок DNS tunneling)
    • Атакующий находится в гостевой или беспроводной сети (DNS tunneling может использоваться для получения доступа, например, к Internet)
    • DNS-сообщения отличаются от типичных

Covert Channel (скрытый канал) — передача данных атакующего в обход авторизации или других средств защиты с помощью разрешенного трафика. DNS tunneling это один из примеров скрытого канала. Часто это осуществляется инкапсуляцией данных атакующего в заголовки разрешенных протоколов.

Индикатором атаки Covert Channel может быть NBAD событие IpUnknownProtocol.

IP spoofing — отправитель с определенным MAC-адресом использует два или более IP-адреса, но один MAC-адрес. Может быть самостоятельной атакой, а может быть частью другой атаки.

О выполнении атаки IP spoofing могут свидетельствовать такие типы событий NBAD:

  • IP spoofing
  • Duplicate IP (если подменяется адрес существующий в сети)

Worm — обычно запрограммирован на:

  • Выполнение программы, которая использует определенную уязвимость
  • Распространение максимального количества собственных копий

О наличии worm в сети могут свидетельствовать такие типы событий NBAD:

  • IP fanout с такими характеристиками:
    • Один или несколько атакующих
    • Один (или небольшое количество) destination портов
  • Virus Throttle event
  • Возможно, packet size deviation

[править] Неправильно настроенные устройства

  • Duplicate IPs
  • Rogue routers
  • Rogue proxies

[править] Типы событий NBAD, которые соответствуют неправильно настроенным устройствам

Примеры неправильно настроенных устройств:

  • Дублирующиеся IP-адреса
  • Использование устаревших протоколов

Такие события NBAD могут свидетельствовать о том, что в сети есть неправильно настроенные устройства:

  • IpOptionLooseSourceRoute
  • IpOptionRecordRoute
  • IpOptionStreamIdentifier
  • IpOptionSecurity
  • IpOptionStrictSourceRoute
  • IpOptionTimestamp

Не исключенные маршрутизаторы (или устройства выполняющие маршрутизацию трафика) могут вызывать такие события NBAD:

  • IP spoofing большого количества различных адресов
  • IP fanout
  • Возможно, TCP/UDP fanout (если установлена высокая чувствительность NBAD)

[править] Реагирование на угрозы

Немедленные действия при обнаружении угроз:

  • Отключение порта
  • MAC Lockout
  • Port rate limit
  • Quarantine VLAN

Действия вызывающие дополнительным анализ трафика:

  • Traffic sampling
  • Remote mirroring

Действия отправляющие различные уведомления:

  • Email
  • Сообщение в PCM+
  • SNMP trap для другого устройства безопасности

[править] Отключение порта

Характеристики:

  • Лучше применять для зон с гостевым доступом к сети (комнат переговоров) и если трафик передающий в этих сетях не является критичным для бизнеса. Так как можно ошибочно выключить порт к которому подключен, например, сервер или инфраструктурное устройство.
  • Можно применять отключение порта временно, на определенный промежуток времени.
  • Не является решением для беспроводной сети и в случаях когда атакующий легко может подключиться к другому порту.

[править] MAC Lockout

Характеристики:

  • Как и отключение порта, является самой серьезной мерой применимой к атакующему.
  • Позволяет блокировать трафик с устройства атакующего на любом порту коммутатора, из-за этого удобнее, чем отключение порта.
  • Можно легко блокировать устройство атакующего во всей сети применив настройки MAC Lockout на всех устройствах.
  • Подмена MAC-адреса позволяет обойти настройки MAC Lockout.
  • Подходит как для проводных, так и для беспроводных сетей.

Icon-caution.gif

Если атакующий к которому применяется отключение порта или MAC Lockout при выполнении атаки использовал IP spoofing, то NIM может применить действие к жертве (по её IP-адресу), а не к атакующему.

[править] Port rate limit

Подходит для реакции на:

  • Alerts которые появились как реакция на небольшое количество events за большое промежуток времени — например, одно событие за час
  • Alerts инициированные NBAD events с высоким уровнем чувствительности — например, IP fanout event с чувствительностью 4
  • Alerts инициированные менее срочными NBAD events — например, для какой-то сети TCP/UDP fanout может считаться менее срочным

[править] Quarantine VLAN

Позволяет помещать порт с которого выполняется атака в определенный VLAN.

Icon-caution.gif

Политиками IDM на коммутаторы могут назначаться настройки port rate limit и помещение в VLAN. Когда на одном устройстве совпадают две политики — NIM и IDM, то приоритет у политики IDM и действия указанные в политике NIM не применяются.

[править] Traffic sampling

Traffic sampling подходит для ситуаций:

  • NIM необходимо дополнительно проанализировать трафик и получить большее количество traffic samples
  • Packet size deviation alert
  • Для alert которые не считаются очень критичными

[править] ProCurve Default Alert

У всех типов событий есть default alert. Исключение — Duplicate IP.

[править] Создание политик

Physical source — устройство, которое отправило пакет sFlow или XRMON который вызвал срабатывание alert.

Logical source — устройство и порт (или AP и radio) к которому подсоединен атакующий. Для определения логического источника NIM использует утилиту Find Node.

Когда создается политика и указывается location, то это location обозначает источник угрозы, а не место обнаружения. И, независимо от того где была обнаружена угроза, применяться политика будет на источнике угрозы (logical source).

Чувствительность определяет вызывает ли обнаруженное отклонение появление события (event). Настройки alert's event settings определяют вызовет ли появление события срабатывание alert. Или, например, alert сработает, если у event наберется опеределенное количество violation (violation count).

У NBAD event обычно severity = Minor.

[править] Управление политиками

[править] Первое прохождение жизненного цикла

Цели:

  • Установить baseline
  • Отрегулировать чувствительность NBAD
  • Начать создавать alerts для обнаружения угроз в сети.

[править] Исключение устройств из проверок NBAD

NIM автоматически исключает:

  • Любые устройства ProCurve обнаруженные PCM, для которых включен routing:
    • Duplicate IP
    • IP spoofing
    • IP fanout
    • External
  • PCM+ сервер:
    • All events
  • Default gateway для PCM+ сервера:
    • Duplicate IP
    • IP spoofing
    • IP fanout
    • External


[править] Второе прохождение жизненного цикла

Цель:

  • Планирование и создание политик

[править] Дополнительная информация

Источник — «http://xgu.ru/wiki/ProCurve_Network_Immunity_Manager»