Lokalno otkrivanje neovlatenih

upada
CCERTPUBDOC200712214











Revizija v1.1 CCERT-PUBDOC-2007-12-214 Stranica 2 / 13



Sigurnosni problemi u raunalnim programima i operativnim sustavima podruje je
na kojem CARNet CERT kontinuirano radi.
Rezultat toga rada ovaj je dokument, koji je nastao suradnjom CARNet CERTa i
LS&Sa, a za koji se nadamo se da e Vam koristiti u poboljanju sigurnosti Vaeg
sustava.

CARNet CERT, www.cert.hr nacionalno sredite za sigurnost
raunalnih mrea i sustava.

LS& S, www.lss.hr laboratorij za sustave i signale pri Zavodu za
elektronike sustave i obradbu informacija Fakulteta elektrotehnike i
raunarstva Sveuilita u Zagrebu.






















Ovaj dokument predstavlja vlasnitvo CARNeta (CARNet CERTa). Namijenjen je za javnu objavu, njime se
moe svatko koristiti, na njega se pozivati, ali samo u originalnom obliku, bez ikakvih izmjena, uz obavezno
navoenje izvora podataka. Koritenje ovog dokumenta protivno gornjim navodima, povreda je autorskih prava
CARNeta, sukladno Zakonu o autorskim pravima. Poinitelj takve aktivnosti podlijee kaznenoj odgovornosti
koja je regulirana Kaznenim zakonom RH.

Revizija v1.1 CCERT-PUBDOC-2007-12-214 Stranica 3 / 13







Sadraj

1. UVOD .............................................................................................................................................. 4
2. VRSTE SUSTAVA ZA OTKRIVANJE NEOVLATENIH UPADA ......................................................................... 5
2.1. MRENO OTKRIVANJE NEOVLATENIH UPADA ..................................................................................................... 5
2.2. PROTOKOLARNO OTKRIVANJE NEOVLATENIH UPADA ............................................................................................. 5
2.3. APLIKACIJSKO OTKRIVANJE NEOVLATENIH UPADA............................................................................................... 6
2.4. OTKRIVANJE NEOVLATENIH UPADA BAZIRANO NA POTPISIMA................................................................................... 6
2.5. OTKRIVANJE NEOVLATENIH UPADA BAZIRANA NA PONAAJNIM MODELIMA.................................................................... 6
3. RAZLIKE IZMEU NIDS I HIDS SUSTAVA ................................................................................................ 6
4. TEHNIKE RADA HIDS SUSTAVA............................................................................................................. 8
4.1. PRAENJE DATOTENIH SUSTAVA .................................................................................................................. 8
4.1.1. Mogunosti ................................................................................................................................... 8
4.1.2. Podeavanje .................................................................................................................................. 9
4.1.3. Odravanje.................................................................................................................................... 9
4.1.4. Zaobilaenje.................................................................................................................................. 9
4.2. ANALIZA DNEVNIKIH ZAPISA.................................................................................................................... 10
4.2.1. Mogunosti ................................................................................................................................. 10
4.2.2. Podeavanje i odravanje............................................................................................................... 10
4.2.3. Zaobilaenje................................................................................................................................ 10
4.3. ANALIZA VEZA .................................................................................................................................... 11
4.3.1. Mogunosti ................................................................................................................................. 11
4.3.2. Podeavanje i odravanje............................................................................................................... 11
4.3.3. Zaobilaenje................................................................................................................................ 11
4.4. ANALIZA NA RAZINI JEZGRE OPERACIJSKOG SUSTAVA .......................................................................................... 12
4.4.1. Vrste .......................................................................................................................................... 12
4.4.2. Mogunosti ................................................................................................................................. 12
5. ZAKLJUAK.................................................................................................................................... 13
6. REFERENCE..................................................................................................................................... 13


Revizija v1.1 CCERT-PUBDOC-2007-12-214 Stranica 4 / 13



1. Uvod
Sustavi za otkrivanje neovlatenog upada (eng. Intrusion Detection Systems - IDS) namijenjeni su
uoavanju neuobiajenih i/ili nedozvoljenih aktivnosti na raunalnim sustavima. Neovlateni upadi
otkrivaju se uoavanjem obrazaca zlonamjernih radnji koje mogu ugroziti sigurnost napadnutog
raunala, kao to su mreni napadi usmjereni na pojedine ranjive usluge, napadi posebno oblikovanim
podatkovnim strukturama (eng. data driven attack) te napadi s ciljem neovlatenog stjecanja
povienih korisnikih ovlasti, neovlatene prijave u sustav ili neovlatenog stjecanja pristupa
potencijalno osjetljivim podacima.
IDS sustavi openito su graeni iz tri komponente: senzora, konzole i sredinjeg mehanizma za
biljeenje i uzbunjivanje (eng. engine). Senzorske komponente takvog sustava uoavaju naznake
neovlatenog upada, konzola nadzire i kontrolira senzore, a sredinji mehanizam u bazu podataka
pohranjuje sve podatke dobivene od senzora te na temelju sustava pravila odluuje o slanju
upozorenja na neovlaten upad. Kod veine jednostavnijih sustava za otkrivanje neovlatenih upada
sve tri navedene komponente ugraene su u jedan ureaj, odnosno aplikaciju.
Meu IDS sustavima osnovna je podjela na NIDS (eng. Network-based IDS) sustave za detekciju
neovlatenih aktivnosti u mrei te HIDS (eng. Host-based IDS) sustave za detekciju neovlatenih
aktivnosti na raunalu lokalnom sustavu. U ovom dokumentu opisane su tehnike rada sustava za
otkrivanje neovlatenih aktivnosti na lokalnom sustavima. Radi jasnoe dan je i pregled svih vrsta
sustava za otkrivanje neovlatenih upada, a navedene su i osnovne razlike izmeu mrenih i lokalnih
sustava za otkrivanje upada.

Revizija v1.1 CCERT-PUBDOC-2007-12-214 Stranica 5 / 13



2. Vrste sustava za otkrivanje neovlatenih upada
Sustave za otkrivanje neovlatenih upada mogue je podijeliti na temelju vie kriterija. Prema
poloaju u raunalnoj mrei na kojem djeluju, IDS sustave mogue je podijeliti na:
NIDS (eng. Network-based IDS) mreni sustavi nadziru podatkovni mreni promet s ciljem
otkrivanja zlonamjerno oblikovanih paketa,
HIDS (eng. Host-based IDS) lokalni sustavi nadziru aktivnosti na jednom raunalu i
DIDS (eng. Distributed IDS) distribuirani sustavi koreliraju podatke prikupljene od strane
razliitih NIDS i HIDS sustava.
Prema protokolima koje analiziraju, mreni sustavi za otkrivanje upada mogu biti:
sustavi za protokolarno otkrivanje neovlatenih upada koji nadziru komunikaciju posluitelja
s klijentima i
sustavi za aplikacijsko otkrivanje neovlatenih upada koji nadziru komunikaciju vezanu uz
odreenu uslugu, a koja se provodi meu posluiteljima.
Prema nainu analize prikupljenih podataka razlikuju se:
sustavi koji otkrivanje upada provode uoavanjem potpisa te
sustavi koji se baziraju na otkrivanju anomalija.
Sustave za otkrivanje upada mogue je podijeliti i na:
pasivne, koji otkrivaju upade, biljee ih i alju upozorenje konzoli ili korisniku, te
aktivne, koji na sumnjive aktivnosti odgovaraju tako to ponovno inicijaliziraju vezu ili
izmjenama pravila vatrozida onemoguuju zlonamjerni mreni promet.
IDS sustavi takoer mogu se podijeliti i na:
sklopovske,
programske ili
sklopovske i programske.
2.1. Mreno otkrivanje neovlatenih upada
Mreni sustavi za otkrivanje neovlatenih upada uoavaju zlonamjerne aktivnosti unutar raunalne
mree nadziranjem podatkovnog prometa. Ovi sustavi otkrivaju, na primjer, napade zasnovane na
uskraivanju usluga (eng. Denial of Service - DoS), pretraivanje portova (eng. port scan) i pokuaje
stjecanja neovlatenog pristupa pojedinim raunalima.
Otkrivanje upada provodi se pretraivanjem dolaznih podatkovnih paketa i uoavanjem sumnjivih
uzoraka, kao to je na primjer velik broj zahtjeva za uspostavljanjem TCP veze prema veem broju
razliitih portova to moe upuivati na pretraivanje portova. Takoer, veina NIDS sustava otkriva
pakete koji sadre zlonamjerno oblikovani strojni programski kod (eng. shellcode), a pomou kojih
udaljeni napada moe pokuati preuzeti kontrolu nad ranjivim raunalom.
Pored nadzora dolaznih paketa, mreni sustavi za otkrivanje neovlatenih upada provode obradu
odlaznog i lokalnog mrenog prometa zbog toga to pojedini napadi mogu biti pokrenuti unutar
nadzirane mree ili nekog njenog segmenta.
2.2. Protokolarno otkrivanje neovlatenih upada
PIDS (eng. Protocol-based IDS) sustavi za protokolarno otkrivanje neovlatenih upada koriste se za
analizu i nadzor komunikacijskog protokola koritenog od strane raunala na kojem su postavljeni.
Uobiajeni PIDS sustav djeluje izmeu tienog posluitelja i povezanih klijenata to mu omoguuje
uvid u sav ostvareni promet.
Najee se koriste na web posluiteljima za nadzor komunikacije prema HTTP (eng. Hyper Text
Transfer Protocol) ili HTTPS (eng. HTTP Secure) protokolima. Zbog toga to su u takve sustave
ugraeni mehanizmi specifini za dani protokol, oni nude daleko viu razinu zatite od openitijih
mehanizama kakvi su filtriranje prometa na temelju IP (eng. Internet Protocol) adresa ili broja porta.
Nedostatak koji iz toga proizlazi je poveano optereenje posluitelja.
Na osnovnoj razini, sustavi za protokolarno otkrivanje neovlatenih upada uoavaju neispravno
koritenje protokola. Na vioj razini, ovi sustavi mogu primjenom metoda umjetne inteligencije
nauiti razlikovati uobiajeni promet od pokuaja zlonamjernog koritenja protokola.

Revizija v1.1 CCERT-PUBDOC-2007-12-214 Stranica 6 / 13



2.3. Aplikacijsko otkrivanje neovlatenih upada
APIDS (eng. Application Protocol-based IDS) sustavi za aplikacijsko otkrivanje neovlatenih upada
slino kao PIDS sustavi nadziru komunikaciju prema odreenom protokolu ili protokolima, ali s tom
razlikom to su oni specijalizirani za protokole vezane uz odreene usluge te se najee koriste za
analizu prometa meu posluiteljima.
Na primjer, uobiajena primjena ovakvih sustava je nadzor i analiza SQL (eng. Structured Querry
Language) komunikacije izmeu web posluitelja i DBMS (eng. DataBase Management System) sustava
za upravljanje bazama podataka. Pri tome se otkrivanje neovlatenih upada provodi s obzirom na
specifinu primjenu protokola u danom sustavu (eng. business logic).
2.4. Otkrivanje neovlatenih upada bazirano na potpisima
Tradicionalni pristup otkrivanju neovlatenih upada temelji se na stvaranju baze podataka sa
specifinim karakteristikama pojedinih napada, tzv. potpisa (eng. fingerprint - otisak). Uobiajeno je
da potpise prikupljaju, obrauju i u sustav dodaju njegovi stvaraoci. U sluaju sumnje na neovlateni
upad, podaci vezani uz sumnjivu vezu usporeuju se s potpisima u bazi podataka te sustav na temelju
rezultata usporedbe odluuje radi li se o neovlatenom upadu ili o dozvoljenim aktivnostima.
Ovakvi sustavi imaju nekoliko inherentnih nedostataka:
za stvaranje otiska napada potrebno je njegovo uspjeno izvoenje,
za svaku vrstu napada stvara se poseban potpis,
s rastom baze potpisa usporava se njezino pretraivanje,
izmeu pojave novog napada i stvaranja te distribucije odgovarajueg potpisa nuno postoji
vremenski prozor u kojem je sustav ranjiv na navedeni napad.
2.5. Otkrivanje neovlatenih upada bazirana na ponaajnim modelima
Izgradnjom modela ponaanja korisnika mogue je stvoriti sustav otkrivanja neovlatenih upada bez
nedostataka prisutnih kod sustava temeljenih na potpisima. Ovakvi sustavi ponaanje korisnika
raunalnog sustava usporeuju s nauenim karakteristikama odreenog empirijskog ponaajnog (eng.
behavioral) modela. Ponaanje korisnika u takvim sustavima definira se kao skup karakteristika veze
klijenta (npr. korisnikog raunala) s posluiteljem.
Kod sustava temeljenih na modelima nije potrebno prethodno poznavanje specifinosti pojedinih
vrsta napada, jer se svi napadi po prirodi razlikuju od dozvoljenih aktivnosti. Iz istog razloga takvim
sustavima nisu potrebne redovne nadogradnje. Takoer, ovi sustavi u radu koriste konstantne
raunalne resurse za nadzor aktivnosti pojedinog korisnika ime se drastino umanjuju mogunosti
njihova iscrpljivanja.
3. Razlike izmeu NIDS i HIDS sustava
Usporedba osnovnih karakteristika lokalnih i mrenih sustava za otkrivanje neovlatenih upada dana
je tablicom Tablica 1.

Karakteristika Komentar
Zatita lokalne mree Oba sustava tite raunala na LAN (eng. Local Area Network) mrei.
Zatita raunala izvan
LAN mree
Lokalni sustavi za otkrivanje upada tite i raunala izvan lokane mree,
dok NIDS sustavi tite samo raunala unutar LAN mree.
Administracija Oba sustava podjednako su zahtjevna za odravanje.
Raznolikost HIDS sustavi omoguuju otkrivanje veeg broja razliitih napada.
Cijena Lokalni sustavi openito su jeftiniji od mrenih.
Implementacija Nema znaajnije razlike u sloenosti postavljanja lokalnih i mrenih
sustava.
Obuka HIDS sustavi zahtijevaju neto krau obuku korisnika.
Ukupan troak Na dulji vremenski rok lokalni sustavi za otkrivanje upada zahtijevaju
manje izdatke.

Revizija v1.1 CCERT-PUBDOC-2007-12-214 Stranica 7 / 13



Potrona mrenih resursa Mreni sustavi, za razliku od lokalnih, u radu troe odreeni udio
propusnosti lokalne mree.
Zahtjevi na Internet vezu Obje vrste sustava zahtijevaju vezu na Internet zbog nadogradnje i
auriranja.
Prospajanje portova NIDS sustavi zahtijevaju omoguavanje prospajanja portova (eng. port
mirroring) zbog nadzora LAN prometa. Ovaj zahtjev kod HIDS sustava
ne postoji.
Nadogradnja klijenata Kod lokalnih sustava potrebna je redovna nadogradnja datoteka s
karakteristikama napada na klijentskim raunalima.
Prenosivost Mreni sustavi prikladniji su za primjenu na razliitim raunalnim
platformama.
Pretraivanje lokalnog
registra
Samo lokalni sustavi posjeduju ovu funkcionalnost.
Dnevniki zapisi Obje vrste sustava mogu biti podeene tako da stvaraju dnevnike
zapise (eng. logging).
Alarmiranje HIDS i NIDS sustavi omoguuju alarmiranje korisnika i administratora.
Nadzor osobne mree Zbog visoke cijene mreni sustavi nisu prikladni za nadzor PAN (eng.
Personal Area Network) mrea.
Odbacivanje paketa Samo mreni sustavi mogu biti podeeni tako da odbacuju sumnjive
podatkovne paketa.
Centraliziranost Mreni sustavi su po svojoj prirodi centralizirani sustavi, za razliku od
raspodijeljenih HIDS sustava.
Uskraivanje usluga Zbog centralizirane arhitektura mrenih sustava za otkrivanje upada
vea je vjerojatnost njihova ruenja.
Mogunost nadogradnje Openito je jednostavnije nadograditi programske pakete nego
sklopovlje. HIDS sustave mogue je nadograditi centraliziranom
skriptom, dok se postavke NIDS sustava najee nalaze na flash
memorijskim karticama.
Tablica 1: Usporedba lokalnih i mrenih sustava za otkrivanje neovlatenih upada
Na slici Slika 1 prikazana je struktura mrenog sustava za otkrivanje neovlatenih upada. Rije je o
lokalnoj raunalnoj mrei sastavljenoj od radnih stanica te stolnih i prijenosnih raunala, a koja je
preko NIDS sustava i vatrozida povezana na Internet. U sluaju napada dovoljno je onesposobiti ili
zaobii raunalo na kojem je postavljen NIDS sustav (oznaeno crvenom bojom na slici) kako bi
neovlateni upad proao nezamijeeno. Takoer, u sluaju iskljuenja pojedinog raunala iz ovako
zatiene mree ne postoji nain otkrivanja neovlatenih upada na spomenuto raunalo.


Slika 1: Mreni sustav za otkrivanje neovlatenih upada

Revizija v1.1 CCERT-PUBDOC-2007-12-214 Stranica 8 / 13



Slika 2 prikazuje slinu raunalnu mreu s lokalnim sustavom otkrivanja upada postavljenim na
raunalima oznaenima utom bojom. Kod takvih sustava pojedina raunala zatiena su bez obzira na
nain povezivanja na Internet.

Slika 2: Lokalni sustav za otkrivanje neovlatenih upada
Lokalne i mrene sustave za otkrivanje neovlatenih upada mogue je kombinirati, tako da se mrenim
sustavom nadgleda cjelokupna lokalna mrea dok se HIDS sustavima tite sva ili samo osjetljivija
raunala unutar mree.
4. Tehnike rada HIDS sustava
Lokalni sustavi neovlatene upade otkrivaju:
nadzorom datotenog sustava, odnosno provjerama integriteta datoteka i direktorija,
pronalaenjem naznaka sumnjivih aktivnosti unutar dnevnikih zapisa,
nadzorom dolaznih i odlaznih zahtjeva za uspostavljanjem veze te
analizama na razini jezgre operacijskog sustava.
4.1. Praenje datotenih sustava
Lokalni sustavi koji neovlatene upade otkrivaju praenjem stanja datotenog sustava provode
usporedbu datoteka s prethodno prikupljenim podacima o istim datotekama, kao to su veliina,
vlasnitvo nad datotekom, te datum njihove zadnje izmjene. Tako je mogue otkriti neovlateno
stjecanje pristupa nadziranom raunalu te neovlatene izmjene datoteka.
4.1.1. Mogunosti
Praenje datotenog sustava mogue je implementirati nadzorom pojedinih ili svih, u nastavku
navedenih, karakteristika:
ovlasti - uoavaju se izmjene ovlasti nad datotekama i direktorijima te postavljanje ili
uklanjanje suid/sgid/sticky zastavica,
inode (eng. index node) - prijavljuje se pridjeljivanje drugaije inode podatkovne strukture
datoteci,
broj pokazivaa - mogue je nadzirati broj pokazivaa (eng. hardlink) na inode strukturu
pojedine datoteke,
vlasnik/grupa - uoavanje izmjene vlasnika i/ili grupe datoteke ili direktorija,
mtime, atime i ctime - nadzor mtime (eng. last modification time) vremena posljednje
izmjene, atime (eng. last access time) vremena posljednjeg pristupa i ctime (eng. last change
time) vremena posljednje izmjene postavki datoteke kao to su vlasnitvo, ovlasti i drugo,
ispitni zbroj - nadzor integriteta datoteka i direktorija praenjem njihova ispitnog zbroja
(eng. checksum) temelji se na injenici da je ih praktiki nemogue izmijeniti bez

Revizija v1.1 CCERT-PUBDOC-2007-12-214 Stranica 9 / 13



naruavanja vrijednosti zbroja dobivenog primjenom jednosmjerne kriptografske funkcije
(eng. hash),
tip datoteke - uoavanje, na primjer, zamjene datoteke direktorijem istog imena.
4.1.2. Podeavanje
Lokalni sustavi za otkrivanje neovlatenih upada praenjem datotenih sustava podeavaju se u etiri
koraka:
1. odreivanje datoteka i direktorija koje je potrebno nadzirati,
2. odreivanje provjera koje e se obavljati nad pojedinim datotekama i direktorijima,
3. stvaranje poetne baze podataka i
4. odreivanje uestalosti provjera (na primjer, jednom dnevno).
Posljednji korak podeavanja potreban je zbog toga to ovi sustavi ne rade provjere datotenog
sustava u stvarnom vremenu, kako se one dogaaju, ve se analize izvode periodiki.
4.1.3. Odravanje
Uobiajene izmjene datotenog sustava, na primjer uslijed instalacije ili uklanjanja aplikacija,
uzrokuju zastarijevanje baze podataka sustava za otkrivanje upada. Ovo moe uzrokovati znaajno
poveanje broja lanih uzbuna (eng. false positives) pa je zbog toga bazu podataka potrebno redovno
aurirati. Potrebna uestalost osvjeavanja baze ovisi o nainu koritenja danog raunala te o
postavkama nadzora datotenog sustava. U sluaju postavljanja stroih pravila nadzora, kojima se
poveava vjerojatnost otkrivanja neovlatenog upada, javlja se potreba za eim auriranjem baze
podataka te se poveava broj lanih uzbuna. Kompromis je mogue postii podeavanjem sustava tako
da prati stanje samo osnovnih sistemskih datoteka koje se rijetko mijenjaju. Takoer, mogue je
podesiti automatsko osvjeavanje baze podataka s opisom datotenog sustava.
Postavke ovakvog HIDS sustava takoer je u nekim sluajevima potrebno odravati. Na primjer,
prilikom instalacije novih aplikacija ponekad je potrebno iz provjera iskljuiti datoteke koje se esto
mijenjaju.
4.1.4. Zaobilaenje
Lokalne sustave za otkrivanje neovlatenih upada praenjem datotenog sustava mogue je zaobii
iskoritavanjem injenice da se provjere ne rade u stvarnom vremenu. Takoer, mogue je iskoristiti
neki od sigurnosnih nedostataka samog sustava ili stjecanjem povienih administratorskih korisnikih
ovlasti na napadnutom raunalu.
Neke od tehnika izbjegavanja otkrivanja upada za koje nisu potrebne poviene korisnike ovlasti su:
Koritenje nenadziranih direktorija - sadraj pojedinih direktorija, kao to je /tmp, esto se
mijenja pa takvi direktoriji esto nisu ukljueni u provjere te ih napada moe neopaeno
iskoristiti za pohranu datoteka.
Maskiranje napada meu lanim uzbunama - instalacija novih aplikacija uzrokuje velik broj
lanih uzbuna. Udaljeni zlonamjerni korisnik moe priekati s napadom dok ne uoi kako
administrator instalira novu aplikaciju te tada izvriti napad kako bi se prikrio meu lanim
uzbunama uzrokovanim instalacijom.
Skrivanje tragova - sustavi za otkrivanje upada nadzorom datotenog sustava ne rade
provjere u stvarnom vremenu to napadau omoguuje prikrivanje tragova upada, na primjer
obnavljanjem mtime i atime vremenskih oznaka touch naredbom ili obnavljanjem veliine
datoteke nakon brisanja podataka iz nje besmislenim podacima (eng. padding).
Uklanjanje tragova iz datotenih zapisa - datoteni zapisi se esto mijenjaju pa njihov
nadzor nema smisla. Napada zbog toga moe mijenjati takve zapise uklanjajui iz njih
tragove upada.
Zaobilaenje sustava za otkrivanje upada mogue je sprijeiti, ili barem oteati, nekim od sljedeih
postupaka:
Paljivo podeavanje - prilikom postavljanja sustava potrebno je paljivo razmotriti koje
datoteke i direktorije ukljuiti u provjeru te koje provjere izvravati nad kojim datotekama,
odnosno direktorijima.

Revizija v1.1 CCERT-PUBDOC-2007-12-214 Stranica 10 / 13



Koritenje ispitnih zbrojeva - brojne znaajke datoteka mogue obnoviti i time prikriti
izmjene sadraja pa je stoga preporueno koritenje ispitnih zbrojeva dobivenih pomou
jednosmjernih funkcija jer ih je praktino nemogue krivotvoriti.
Sprjeavanje izmjena HIDS sustava - kako bi se onemoguile izmjene samog sustava za
otkrivanje upada potrebno je njegove izvrne datoteke, datoteke s postavkama te bazu
podataka pohraniti na mediju koji omoguuje samo itanje (eng. read-only).
4.2. Analiza dnevnikih zapisa
Lokalni sustavi mogu neovlatene upade otkrivati i analizom dnevnikih zapisa (tzv. log zapisi).
Analiza se provodi:
usporedbom uzoraka (eng. pattern matching) - dnevniki zapisi pretrauju se u potrazi za
uzorcima koji odgovaraju poznatim napadima,
usporedbom uzoraka uz korelaciju dogaaja - provodi usporedbu uzoraka uzimajui u obzir
kontekst pojedinog dnevnikog zapisa,
uoavanjem nepravilnosti (eng. anomaly detection) - ako je poznato uobiajeno ponaanje
korisnika na nadziranom raunalu unutar dnevnikih zapisa mogue je pronai neuobiajene
aktivnosti koje ukazuju na napad.
4.2.1. Mogunosti
Alati koji analizu dnevnikih zapisa provode usporedbom uzoraka mogu posjedovati sljedee
funkcionalnosti:
koritenje proirenih izraza za pretraivanje znakovnih nizova (eng. regular expression),
izvoenje prethodno definirane naredbe u sluaju pronalaenja uzorka,
upozoravanje korisnika i/ili administratora na pronaeni uzorak,
koritenje pragova osjetljivosti, npr. neuspjena prijava ne uzrokuje upozorenje, ali se tri
neuspjene prijave tretiraju kao pokuaj neovlatenog upada,
uoavanje uzoraka u odreenom vremenskom intervalu.
Alati za pretraivanje dnevnikih zapisa usporedbom uzoraka uz korelaciju dogaaja sloeniji su od
programskih paketa koji provode jednostavno pretraivanje uzoraka. Kod ovih alata u obzir se uzima
kontekst u kojem se odreeni uzorak pojavljuje, vremenski odnosi kao i oekivane posljedice
zabiljeenih radnji.
4.2.2. Podeavanje i odravanje
Prilikom podeavanja lokalnih sustava za otkrivanje neovlatenih upada analizom dnevnikih zapisa
usporedbom uzoraka potrebno je izgraditi pravila na temelju kojih se provode analiza i uoavanje
tragova upada. Runo pisanje takvih pravila moe biti dugotrajan i sloen proces koji moe rezultirati
pogrekama u postavkama.
Nain odravanja ovakvih alata uvelike ovisi o njihovoj primjeni. Ako se koriste za analizu statikih
dnevnikih zapisa pozadinskih aplikacija (eng. daemon), pravila po kojima se analiza provodi nije
potrebno esto mijenjati. Eventualne promjene u takvim sluajevima odnose se na dodavanje pravila u
sluaju otkrivanja sigurnosnih propusta.
S druge strane, ako se ovi alati koriste za analizu dinamikih zapisa, kakvi su dnevniki zapisi Apache
posluitelja, odravanje postaje znatno sloenije. Naime, sigurnosni nedostaci aplikacija pisanih u
PHP, ASP i Perl programskim jezicima, a koje se mogu izvoditi na spomenutom posluitelju, otkrivaju
se gotovo svakodnevno pa takva primjena alata za analizu dnevnikih zapisa zahtijeva redovno
auriranje skupa pravila.
Kod alata koji otkrivaju nepravilnosti dovoljno je jednom definirati uobiajeno ponaanje korisnika, te
e svako ponaanje koje izlazi iz zadanih okvira biti prijavljeno kao pokuaj neovlatenog upada.
4.2.3. Zaobilaenje
Sustave za otkrivanje upada usporedbom uzoraka unutar dnevnikih zapisa mogue je zavarati
iskoritavanjem njihove mogunosti koritenja pragova osjetljivosti. Ako je, na primjer, sustav
podeen tako da uoava est ili vie neuspjenih pokuaja prijave u sustav unutar jedne minute, a

Revizija v1.1 CCERT-PUBDOC-2007-12-214 Stranica 11 / 13



napada izvodi napad metodom pokuaja i pogreaka (eng. brute force) s dinamikom od etiri
pokuaja u minuti, napad e proi nezamijeen. Oito rjeenje je postavljanje niih pragova
osjetljivosti.
Takoer mogue je maskirati pokuaje upada kako bi se zavarala pravila za usporedbu uzoraka. Na
primjer, ako je unutar dnevnikih zapisa potrebno uoiti svaki pokuaj pristupa /etc/password
datoteci kao to je:

127. 0. 0. 1 - - [ 01/ J an/ 2008: 03: 17: 51 +0100] " GET
/ page. php?page=. . / . . / . . / et c/ passwd HTTP/ 1. 1" 200 2313 " - " " " " - "

Navedeni primjer sadri znakovni niz, odnosno uzorak, /etc/password pa e sustav poslati
upozorenje na pokuaj neovlatenog upada. Napad je meutim mogue maskirati:

127. 0. 0. 1 - - [ 01/ J an/ 2008: 03: 17: 51 +0100] " GET
/ page. php?page=. . %2F. . %2F. . %2Fet c%2Fpasswd HTTP/ 1. 1" 200 2313 " - " " " " - "

Zahtjev je preraen tako da je umjesto kose crte " / " koriten njezin heksadekadski zapis " %2F" .
Pretraivanje ovakvog dnevnikog zapisa u potrazi za nizom /etc/password nee rezultirati
upozorenjem.
Zbog velikog broja moguih naina zapisa ak i jednostavnih znakovnih nizova, pisanje posebnog
pravila za svaki oblik niza nije praktino. Mogue rjeenje je primjena prevodioca koji znakovne nizove
proitane iz dnevnikih zapisa prevodi u ASCII (eng. American Standard Code for Information
Interchange) zapis, koji se potom pretrauje na odgovarajue uzorke.
4.3. Analiza veza
Na raspolaganju su HIDS sustavi koji provode analizu dolaznih zahtjeva za otvaranjem veze na
raunalu na kojem se izvode. Na taj nain ovi sustavi otkrivaju neovlateno povezivanje i
pretraivanje portova.
4.3.1. Mogunosti
Lokalni sustavi za otkrivanje neovlatenih upada analizom veza mogu posjedovati sljedee
mogunosti:
Neovlatene UDP i TCP veze - otkrivanje veza na nedozvoljene UDP (eng. User Datagram
Protocol) i TCP (eng. Transmission Control Protocol) portove.
Pretraivanje portova - otkrivanje pretraivanja portova SYN, FIN, XMAS i drugim zahtjevima.
Pasivnost - nadzor veza bez uzbunjivanja napadaa.
Onemoguavanje veze - pojedini alati mogu biti podeeni tako da uoenim napadaima
onemogue povezivanje na nadzirano raunalo.
Upozoravanje napadaa - osim onemoguavanjem povezivanja napadaa je mogue
odvratiti i prikazivanjem upozorenja (eng. banner).
4.3.2. Podeavanje i odravanje
Kod alata za otkrivanje upada analizom veza mogue je podesiti portove koje je potrebno nadgledati,
broj veza koje uzrokuju slanje upozorenja te odreeni broj postavki karakteristinih za pojedine alate.
Postavke ovih alata razmjerno su jednostavne i nije ih potrebno esto mijenjati, uglavnom samo kod
dodavanja ili uklanjanja usluga s nadziranog raunala.
Redovnije odravanje potrebno je jedino kod alata koji omoguuju blokiranje veza s odreenih
raunala. Listu onemoguenih veza potrebno je povremeno izbrisati ili proistiti, kako ne bi postala
prevelika. Takoer je mogue da se na spomenutoj listi nau autorizirani korisnicu u sluaju
nehotinog pokuaja spajanja na krivi port ili na uklonjenu uslugu.
4.3.3. Zaobilaenje
Sustave za otkrivanje upada analizom veza mogue je zaobii primjenom neke od sljedeih tehnika:

Revizija v1.1 CCERT-PUBDOC-2007-12-214 Stranica 12 / 13



Koritenje nepodranih protokola - napadi izvedeni nekim od protokola koje HIDS sustav ne
podrava nee biti otkriveni.
Sporo pretraivanje portova - sporim pretraivanjem portova, na primjer jedan port u sat
vremena, mogue je zavarati HIDS sustav u sluaju postojanja praga osjetljivosti.
Pretraivanje portova s velikog broja IP adresa - slino kao kod sporog pretraivanja
otkrivanje je mogue izbjei pretraivanjem portova s velikog broja razliitih IP adresa.
Koritenje nepodranog pretraivanja - portove je mogue pretraiti nekom od metoda koje
HIDS sustav za analizu veza ne podrava, npr. protokolarnim, NULL, SYN-ACK ili nekim drugim
nepodranim pretraivanjem.
4.4. Analiza na razini jezgre operacijskog sustava
Neovlatene upade mogue je lokalno otkriti nadzorom aktivnosti na razini jezgre operacijskog
sustava. Kod alata koji to omoguuju esto je uz otkrivanje upada mogue podesiti i odreenu razinu
zatite, odnosno onemoguavanja napada.
4.4.1. Vrste
Lokalno otkrivanje upada na razini jezgre operacijskog sustava mogue je implementirati:
otkrivanjem nepravilnosti u koritenju nadziranog sustava,
biljeenjem potencijalno zlonamjernih poziva sistemskih funkcija u dnevnike zapise,
otkrivanjem odstupanja u redoslijedu poziva sistemskih funkcija od strane odreenih
procesa,
otkrivanjem odstupanja u argumentima poziva sistemskih funkcija od strane odreenih
procesa,
biljeenjem promjena sistemskih binarnih datoteka u dnevnike zapise,
biljeenjem pretraivanja i sondiranja portova u dnevnike zapise.
4.4.2. Mogunosti
Alati za lokalno otkrivanje neovlatenih upada na razini jezgre operacijskog sustava mogu posjedovati
funkcionalnosti koje pored otkrivanja upada pruaju i odreenu zatitu od istih. Neke od spomenutih
mogunosti su:
zatita datoteka i direktorija od izmjene, ak i od strane tzv. root korisnika,
skrivanje datoteka i direktorija,
zatita pojedinih procesa blokiranjem signala od potencijalno neovlatenih korisnika,
onemoguavanje izmjena mrenih postavki, kao to su podeenja vatrozida,
onemoguavanje dodavanja i uklanjanja modula jezgre,
onemoguavanje izravnog (eng. raw) pristupa tvrdom disku,
slanje sigurnosnih upozorenja, na primjer SMTP (eng. Simple Mail Transfer Protocol)
protokolom,
otkrivanje napada prepisivanjem spremnika smjetenog na stogu ili na gomili,
otkrivanje napada iskoritavanjem nesinkroniziranog pristupa resursima (eng. race
condition),
otkrivanje lokalnih napada uskraivanjem usluga.
Kao to je iz liste mogunosti vidljivo, lokalni sustavi za otkrivanje neovlatenih upada na razini
jezgre operacijskog sustava mogu se znaajno razlikovati pa se prema tome i naini podeavanja te
potreba za odravanjem znaajno razlikuju od sustava do sustava.

Revizija v1.1 CCERT-PUBDOC-2007-12-214 Stranica 13 / 13



5. Zakljuak
Sustavi za otkrivanje neovlatenih upada predstavljaju znaajnu sigurnosnu komponentu svakog
raunalnog sustava, uz ostale sustave kao to su vatrozid i antivirusni alati. Bez obzira na nain
otkrivanja upada svi IDS sustavi mogu se podijeliti na lokalne i mrene sustave. Obje navedene
skupine imaju karakteristine prednosti i nedostatke te odluka o koritenju mrenog ili lokalnog
sustava ovisi prije svega o okruenju i postavljenim zahtjevima. Poeljno je implementirati oba
sustava kako bi se njihovim komplementarnim djelovanjem mogunost nezamijeenog upada svela na
minimum.
Razliiti HIDS sustavi takoer imaju svoje prednosti i nedostatke. Sustavi koji otkrivanje upada rade
praenjem datotenog sustava predstavljaju dobru zadnju liniju obrane raunalnog sustava, ali je
njihovo odravanje zahtjevno ukoliko se datoteke koje nadziru esto mijenjaju. Kod alata za analizu
dnevnikih zapisa preporueno je koristiti one koji omoguuju koreliranje dogaaja iz vie razliitih
zapisa. Sustavi za analizu veza zahtijevaju previe angamana administratora oko postavljanja i
odravanja u odnosu na rezultate koje pruaju. HIDS sustavi koji upade otkrivaju na razini jezgre
operacijskog sustava vrlo su efikasni te pored otkrivanja omoguuju i sprjeavanje napada.
6. Reference
[1] Adhitya Chittur: Model Generation for an Internet Detection System Using Genetic Algorithms,
www1.cs.columbia.edu/ids/publications/gaids-thesis01.pdf, prosinac 2007.
[2] Ricky M. Magalhaes: Host-based IDS vs Network-based IDS,
http://www.windowsecurity.com/articles/Hids_vs_Nids_Part1.html?printversion, prosinac 2007.
[3] Pieter de Boer, Martin Pels: Host-based Intrusion Detection Systems,
http://staff.science.uva.nl/~delaat/snb-2004-2005/p19/report.pdf, prosinac 2007.
[4] Paul Innella, Oba McMillan: An Introduction to Intrusion Detection Systems,
http://www.securityfocus.com/infocus/1520, prosinac 2007.
[5] Wikipedia, http://en.wikipedia.org/, prosinac 2007.