SVEUČILIŠTE U ZAGREBU

FAKULTET ELEKTROTEHNIKE I RA ČUNARSTVA

DIPLOMSKI RAD br. 1703

Otkrivanje i zaštita od napada u mrežnim sigurnosnim sustavima

Dino Ravnić

Voditelj: doc.dr.sc. Marin Golub

Zagreb, siječanj 2008.

Zahvaljujem se svojoj obitelji (mami Raheli, tati Davoru, sestri Maji, baki Miri i djedu Tomislavu) koja mi je pružila podršku tijekom cijelog života, a posebice mojeg školovanja.

Velika hvala ide i mojoj najdražoj, Marti, u kojoj sam sve ove godine pronašao veliku potporu i ljubav.

Naposljetku hvala i mentoru doc.dr.sc. Marinu Golubu na zanimljivim predavanjima, predloženoj temi te stručnom vodstvu kroz ovaj rad.

Sažetak

U ovom radu obrañeni su mrežni napadi i sustavi za njihovu detekciju i prevenciju. Detaljnije su pokriveni napadi iskorištavanja prelijevanja meñuspremnika i napadi onemogućivanja resursa. Opisan je princip rada sustava za detekciju i prevenciju napada. Prikazana su i opisana dva konkretna sustava. Jedan je komercijalan, a drugi je sustav otvorenog koda. Praktični dio ovog rada zasniva se na demonstraciji stvarnih napada i ispitivanju mogućnosti obrane korištenjem sustava za prevenciju i detekciju napada. U svrhe ispitivanja razvijena je aplikacija koja ima mogućnost realizacije napada na više propusta raznih programa i jednog operacijskog sustava.

Abstract

This paper deals with remote based exploits and systems for their detection and prevention. Buffer overflow vulnerabilities and denial of service attacks are covered in detail. The principle on which systems for detection and prevention are working is also described. Two real systems are analyzed. One is commercial and other is open source. Practical part of this paper is based on demonstration of real exploits and on testing defense against them using systems for prevention and detection. For testing purposes an application was developed that can exploit vulnerabilities of various programs and one operating system.

Sadržaj

1. UVOD ........................................................................................................................... 1 2. NAPADI........................................................................................................................ 2

2.1. Napad prelijevanjem meñuspremnika ................................................................ 2 2.1.1. Primjer prelijevanja meñuspremnika ............................................................... 2 2.1.2. Iskorištavanje propusta na stogu...................................................................... 3 2.1.3. Iskorištavanje propusta na hrpi ........................................................................ 3 2.1.4. Tehnika NOP-sled............................................................................................ 4

2.2. Napad uskraćivanjem usluge ............................................................................... 5 2.2.1. Ping zatrpavanje............................................................................................... 5 2.2.2. Ping smrti ......................................................................................................... 6 2.2.3. Smurf napad..................................................................................................... 6 2.2.4. Fraggle napad................................................................................................... 6 2.2.5. SYN zatrpavanje .............................................................................................. 7 2.2.6. Teardrop napad ................................................................................................ 7 2.2.7. DDoS napad..................................................................................................... 8

3. SUSTAVI ZA PREVENCIJU I DETEKCIJU MREŽNIH NAPADA ... ................ 9 3.1. Mogućnosti ............................................................................................................. 9

3.1.1. Odbacivanje jednog paketa............................................................................ 10 3.1.2. Odbacivanje svih paketa u vezi ..................................................................... 10 3.1.3. Odbacivanje svih paketa koji dolaze s odreñene IP adrese ........................... 10

3.2. Dodatne pogodnosti............................................................................................. 10 3.2.1. Normalizacija prometa................................................................................... 11 3.2.2. Provoñenje sigurnosne politike...................................................................... 11

3.3. Ograničenja.......................................................................................................... 12 3.4. Komponente sustava za prevenciju napada...................................................... 14 3.5. Senzori .................................................................................................................. 15

3.5.1. Kapacitet procesuiranja.................................................................................. 15 3.5.2. Sučelja............................................................................................................ 16 3.5.3. Oblik i veličina............................................................................................... 16 3.5.4. Samostalni senzori u obliku ureñaja .............................................................. 16 3.5.5. Kartični senzori.............................................................................................. 16 3.5.6. Senzori integrirani u operacijski sustav mrežnog ureñaja ............................. 16

3.6. Praćenje mrežnog prometa................................................................................. 17 3.6.1. Praćenje paketa u usporednom načinu........................................................... 17 3.6.2. Praćenje prometa u načinu prisluškivanja ..................................................... 17

3.7. Analiza mrežnog prometa................................................................................... 19 3.7.1. Elementarna operacija.................................................................................... 19 3.7.2. Operacija pamćenja stanja ............................................................................. 19 3.7.3. Operacija dekodiranja protokola.................................................................... 20 3.7.4. Operacija anomalije ....................................................................................... 20 3.7.5. Operacija normaliziranja................................................................................ 20

3.8. Reakcija na mrežni promet ................................................................................ 21 3.8.1. Uzbuna........................................................................................................... 21 3.8.2. Zapisivanje..................................................................................................... 21 3.8.3. Blokiranje paketa ........................................................................................... 21 3.8.4. Odbacivanje paketa........................................................................................ 21

3.9. Lažno pozitivni napadi........................................................................................ 22

4. SAMOSTALNI URE ðAJ ZA OTKRIVANJE I ZAŠTITU OD NAPADA......... 23 4.1. Sažetak mogućnosti Proventie............................................................................ 23 4.2. Modeli ureñaja..................................................................................................... 24 4.3. Proventia M10...................................................................................................... 25

4.3.1. Instalacija ....................................................................................................... 25 4.3.2. Usmjernički način rada .................................................................................. 26 4.3.3. Transparentni način rada................................................................................ 26 4.3.4. Prikaz osnovnih podataka .............................................................................. 27 4.3.5. Sustav za zaštitu od neželjene pošte .............................................................. 28 4.3.6. Sustav za zaštitu od virusa............................................................................. 29 4.3.7. Sigurnosna stijena .......................................................................................... 30 4.3.8. Sustav za prevenciju mrežnih napada............................................................31 4.3.9. Praćenje stanja sustava za prevenciju napada................................................ 34

5. RJEŠENJE OTVORENOG KODA ZA OTKRIVANJE NAPADA....... .............. 35 5.1. Obilježja ............................................................................................................... 35 5.2. Mogućnosti ........................................................................................................... 36

5.2.1. Sigurnosna stijena .......................................................................................... 38 5.3. Sustav za detekciju napada ................................................................................ 39

5.3.1. Komponente................................................................................................... 40 5.3.2. Dekoder paketa .............................................................................................. 40 5.3.3. Predprocesori ................................................................................................. 41 5.3.4. Sustav za detekciju napada ............................................................................ 41 5.3.5. Sustavi za zapisivanje i uzbune ..................................................................... 41 5.3.6. Izlazni moduli ................................................................................................ 42

6. PRAKTI ČNI RAD..................................................................................................... 43 6.1. Aplikacija za ispitivanje napada........................................................................ 44

6.1.1. Proxy poslužitelj ............................................................................................ 44 6.1.2. SSH poslužitelj .............................................................................................. 45 6.1.3. HTTP poslužitelj............................................................................................ 45 6.1.4. TFTP poslužitelj ............................................................................................ 45 6.1.5. FTP poslužitelj............................................................................................... 45 6.1.6. SMTP i POP3 poslužitelj............................................................................... 45 6.1.7. Operacijski sustav .......................................................................................... 46

6.2. Obrana od napada............................................................................................... 46 6.2.1. Proventia ........................................................................................................ 46 6.2.2. IPCop ............................................................................................................. 49 6.2.3. Usporedba rezultata ispitivanja...................................................................... 52

7. ZAKLJU ČAK............................................................................................................ 53 8. LITERATURA .......................................................................................................... 54

1

1. Uvod

Prije svega nekoliko godina dovoljnu zaštitu za većinu korisnika osobnih računala pružao je kvalitetan antivirusni program. Takvi programi prepoznavali su i onemogućavali pokretanje zlonamjernih programa i time činili računala koliko-toliko sigurnima.

Meñutim, već neko vrijeme antivirusni program sam po sebi ne predstavlja dovoljnu zaštitu računalnih sustava koji su stalno ili privremeno spojeni na Internet. Iako ti programi i dalje dobro rade svoj posao, oni nas neće zaštiti od neželjene elektronske pošte (engl. spam), špijunskih programa (engl. spyware) ili napada s Interneta.

Posebna vrsta malicioznih programa su špijunski programi koji potajno skupljaju podatke o korisniku i njegovim navikama te ih, bez njegovog znanja, šalju trećoj strani. Takvi programi ne rade direktno na štetu računala, ali velika su prijetnja jer bez korisnikova znanja “kradu“ potencijalno osjetljive i važne informacije. Neki oblici ovakvih programa se nazivaju i adware (engl. Advertising-supported software) koji korisniku automatski prikazuju reklamni sadržaj koji se, kako bi se bolje približio korisniku, može zasnivati i na “ukradenim“ privatnim podacima.

Dakle, u borbi protiv današnjih prijetnji trebaju nam osim antivirusnog programa, barem još sigurnosna stijena, zaštita od neželjene elektronske pošte i špijunskih programa, a u zadnje vrijeme i ureñaj ili programska podrška za detekciju i prevenciju mrežnih napada.

Mrežni napadi koriste razne sigurnosne propuste u operacijskim sustavima i korisničkim programima. Nakon izvršenog napada preuzimaju potpunu kontrolu nad računalom. Takva “ukradena“ računala u žargonu se nazivaju zombiji. Za napade ovog tipa često se koriste gotove skripte i programi koji mogu učinkovito izvršiti pretragu računala za propustom te u slučaju pronalaska uspješno ga i iskoristiti.

Prosječni korisnici ne brinu se previše oko napada jer su pod dojmom da nisu zanimljivi potencijalnim napadačima. Meñutim, to je u potpunosti krivo. Napadači obično imaju za cilj iskoristiti ukradeno računalo (zombi) za slanje spama, distribuciju ilegalnog sadržaja i sličnih ilegalnih radnji. Takoñer za same troškove koji pri tome nastanu odgovara vlasnik računala. Ti troškovi su obično promet ostvaren Internet vezom, meñutim isto tako korisnik se može naći u neugodnoj pravnoj situaciji ukoliko je njegovo zombi računalo iskorišteno za napad na primjerice neki javni poslužitelj.

Napadači obično za cilj nemaju pribaviti samo jedno zombi računalo, već često pod svojom kontrolom imaju veći broj računala koja se mogu gledati čak i kao mreža. Takve mreže zombija često se iznajmljuju spammerima i drugim kriminalnim skupinama koje ih koriste za svoje ilegalne aktivnosti.

U drugom poglavlju pobliže su opisane dvije najčešće vrste mrežnih napada. Sustavi za prevenciju i detekciju napada opisani su u trećem poglavlju. Četvrto i peto poglavlje donose opis konkretnih rješenja za obranu od mrežnih napada, jedno komercijalno i drugo besplatno rješenje otvorenog koda. U šestom poglavlju opisani su postupak i rezultati ispitivanja učinkovitosti obrane ureñaja od šest različitih mrežnih napada.

2

2. Napadi

2.1. Napad prelijevanjem meñuspremnika

Programska greška koja može rezultirati iznimkom prilikom pristupa spremniku i krajem izvršavanja programa naziva se prelijevanje meñuspremnika (engl. buffer overflow). Takva greška može se iskoristiti i u negativne svrhe u smislu povrede sigurnosti.

Prelijevanje meñuspremnika je dakle abnormalno stanje u kojem program pokušava spremiti podatke izvan granica fiksno odreñenog meñuspremnika. Rezultat te operacije je prepisivanje dodatnih spremničkih lokacija. Te lokacije mogu biti drugi meñuspremnici, varijable i sam podatkovni tok programa. Takvo prepisivanje može uzrokovati prekidanje izvoñenja programa ili rezultirati neočekivanim izlazom programa. Jedan od načina iskorištavanja takvih propusta je izvršavanje malicioznog koda pažljivim prepisivanjem dodatnih lokacija. Dakle, prelijevanje meñuspremnika predstavlja sigurnosni problem koji iskorištavaju mnogi štetni programi poput virusa, crva, trojanskih konja i sl.

Prelijevanje meñuspremnika može se spriječiti provjerom veličine meñuspremnika prije izvršavanja operacije zapisivanja. Algoritam provjere veličine meñuspremnika može ručno ugraditi programer ili automatski prevoditelj koda.

2.1.1. Primjer prelijevanja me ñuspremnika

Neka program sadrži dvije varijable smještene uzastopno u spremniku. Varijabla A je tekstualnog tipa dužine 8 znakova, a varijabla B cjelobrojnog tipa veličine dva okteta. Vrijednost pohranjena u varijablu B iznosi 5. Ako u varijablu A zapišemo podatak “zemris“ možemo primijetiti da taj podatak bez problema zadovoljava kapacitet varijable.

Tablica 2.1. Prikaz ispravnog spremničkog prostora

A A A A A A A A B B

'z' 'e' 'm' 'r' 'i' 's' 0 0 5 0

Meñutim, pokušamo li u varijablu A zapisati niz znakova “sigurnost“ (dužine 9 znakova + 1 terminirajući znak), primjećujemo kako zbog nedovoljne veličine spremnika varijable A dolazi do prepisivanja sadržaja varijable B. U varijablu B tada je zapisana neočekivana vrijednost “t\0“ (7400(16)), odnosno u little-endian sustavu broj 116.

Tablica 2.2. Prikaz prelijevanja meñuspremnika

A A A A A A A A B B

's' 'i' 'g' 'u' 'r' 'n' 'o' 's' 't' 0

3

Programer je osmislio algoritam tako da se prilikom zapisivanja u varijablu A promijeni samo vrijednost te varijable, a nikako varijable B. Meñutim iskorištavanjem ovog propusta program nastavlja izvoñenje u smjeru koji programer uopće nije ni zamislio. U slučaju da su varijable A i B jedine varijable programa i da se pokuša zapisati niz znakova u varijablu A duži od njihovog ukupnog alociranog prostora, došlo bi do iznimke koja bi prekinula izvoñenje cijelog programa.

Tehnika iskorištavanja prelijevanja meñuspremnika ovisi o arhitekturi, operacijskom sustavu i dijelu spremnika koji se želi iskoristiti. Npr. iskorištavanje propusta na hrpi (engl. heap), korištenoj za dinamičko alociranje spremnika, je potpuno drugačije od iskorištavanja propusta na stogu.

2.1.2. Iskorištavanje propusta na stogu

Korištenjem propusta prelijevanja meñuspremnika na stogu moguće je manipulirati programom na sljedeće načine:

• prepisivanjem lokalne varijable koja je blizu meñuspremnika na stogu kako bi se promijenio tok izvoñenja programa,

• prepisivanjem povratne adrese smještene na stogu (kada potprogram prestane s izvoñenjem izvršavanje će se nastaviti na adresi koju je odredio napadač, obično adresa na koju je i smjestio željeni maliciozni kod) i

• prepisivanjem kazaljke funkcije ili prepisivanjem dijela programskog koda koji obrañuje iznimku.

2.1.3. Iskorištavanje propusta na hrpi

Prelijevanje meñuspremnika na hrpi iskorištava se na drugačiji način nego prelijevanje meñuspremnika na stogu. Aplikacija tijekom izvoñenja dinamički alocira spremnik na hrpi (na koji se obično smještaju programski podaci). Iskorištavanje propusta odvija se korumpiranjem podataka tako da aplikacija prepiše interne strukture kao što su povezane liste kazaljki. Ova tehnika napada se može iskoristiti primjerice za programe pisane u C++-u. U C++ programskom jeziku svaki objekt ima tabelu virtualnih funkcija u kojoj se nalaze zapisi koji pokazuju na metode tog objekta. Korumpiranjem tabele virtualnih funkcija nekog objekta, moguće je preuzeti kontrolu nad izvršavanjem metoda. Svaki objektno orijentiran programski jezik radi na sličan način pa bi se ova tehnika mogla primijeniti i na druge jezike. Problem kod iskorištavanja propusta na hrpi je to što je teško predvidjeti kako će izgledati poredak objekata koji su alocirani jer se sama alokacija dogaña prilikom izvoñenja programa. Na kraju se može zaključiti da su šanse za uspješan napad korištenjem propusta na hrpi puno manje od šansi izvršenja napada na stogu.

4

2.1.4. Tehnika NOP-sled

NOP-sled je najstarija i najpoznatija tehnika koja se koristi za uspješno iskorištavanje propusta meñuspremnika na stogu. Jedan od većih problema iskorištavanja propusta na stogu je izračun adrese na koju treba skočiti da bi se izvršio ubačeni kod. Kako bi se dozvolila pogreška u tom izračunu, ubačeni kod (engl. shellcode) omeñuje se NOP naredbama. Ta naredba je instrukcija koja u biti ne radi ništa. Čim procesor naiñe na skup tih naredbi poredanih jedna za drugom on će doslovno “prokliziti“ (engl. sled) kroz njih dok ne doñe do neke instrukcije koja nešto radi, a u ovom slučaju to je ubačeni kod. Nop naredba (opcode 0x90) je specifična i time lako prepoznatljiva. Skup takvih naredbi može se lako prepoznati i identificirati što olakšava detekciju malicioznog koda. Kako bi se taj problem izbjegao izradio se skup i drugih naredbi koje ne rade ništa i time omogućila funkcionalnost NOP naredbe.

Slika 2.1. Prikaz tehnike NOP-sled

5

2.2. Napad uskraćivanjem usluge

Napad uskraćivanjem usluge (engl. DoS – Denial of Service) je napad čiji je cilj onemogućiti pristup računalnim resursima. Iako motivi i mete za DoS napad mogu varirati, on se općenito koristi za privremeno ili trajno uskraćivanje dostupnosti Internet stranica ili servisa.

Obično su mete takvih napada servisi koji se puno koriste, kao što su banke, servisi za plaćanje putem Interneta, pa čak i DNS root poslužitelji.

Ideja napada leži u metodi zatrpavanja žrtve dodatnim komunikacijskim zahtjevima tako da se onemogući žrtvi odgovor na legitimne zahtjeve ili da taj odgovor bude iznimno spor.

Ukratko DoS napadi obično se ostvaruju u sljedeća dva oblika:

• prisiljavanjem mete na ponovljeno pokretanje operacijskog sustava ili korištenje resursa na način da više ne može pružati odreñenu uslugu i

• ometanjem komunikacijskog kanala izmeñu korisnika i mete tako da više ne mogu normalno komunicirati.

U sljedećim poglavljima opisat će se vrste DoS napada.

2.2.1. Ping zatrpavanje

Ping zatrpavanje (engl. ping flood) jedan je od najosnovnijih DoS napada. Zasniva se na ICMP (engl. Internet Control Message Protocol) “echo“ naredbi, popularnijeg naziva ping. U normalnim okolnostima ova naredba koristi se za provjeru mrežne povezanosti izmeñu dva računala.

Slika 2.2. Primjer korištenja naredbe ping

6

U napadu zatrpavanjem ping naredbom šalju se žrtvi velike količine paketa kako bi se izazvalo preopterećenje. Na većim mrežama ili web stranicama ova vrsta napada općenito je beskorisna. To je zbog toga što će samo jedno računalo biti zahvaćeno ovim napadom. Ako bismo željeli napasti grupu računala onda bi taj napad bio DDoS (engl. Distributed Denial of Service).

Najjednostavnija obrana od ovog napada je zatvaranje pristupa ping usluzi.

2.2.2. Ping smrti

Napad pingom smrti (engl. PoD – Ping of Death) zasniva se na propustu u implementaciji TCP/IP protokola. Najveća dopuštena veličina TCP paketa je 65 535 okteta. Ako bi netko poslao paket veći od te vrijednosti došlo bi do rušenja zbog nepoštivanja pravila TCP/IP protokola.

Slika 2.3. Ping smrti

Slanje ping naredbe ove veličine protivno je pravilima TCP/IP protokola, meñutim napadači mogu ovo izbjeći tako da pošalju pakete u dijelovima. Kada se takav paket sastavi na odredišnom računalu doći će do izazivanja prelijevanja meñuspremnika jer je ukupna veličina sastavljenog paketa veća od dopuštene veličine. Srećom, većina ureñaja proizvedena nakon 1998. godine imuna je na ovu vrstu napada.

2.2.3. Smurf napad

Smurf napad izvršava se tako da napadač prekrije (engl. spoof) svoju IP adresu IP adresom žrtvinog računala. To će izazvati veliku pomutnju na mreži žrtvinog računala i ukoliko se napad ispravno izvede doći će do pretrpavanja prometa na toj mreži.

2.2.4. Fraggle napad

Fraggle napad isto je što i Smurf napad, samo što koristi UDP (engl. User Datagram Protocol) umjesto TCP (engl. Transmission Control Protocol) protokola. Kao i smurf napadi, ovi napadi su zastarjeli i zaustavlja ih većina današnjih sigurnosnih stijena i usmjernika.

7

2.2.5. SYN zatrpavanje

Napad SYN zatrpavanjem iskorištava obilježje načina rukovanja TCP protokola, točnije trostruki način rukovanja (engl. three-way handshake).

Slika 2.4. Trostruki način rukovanja

Ova metoda radi na dva načina. Prvi način je da se od strane napadača pokrene trostruko rukovanje i da se nikad ne završi. Na slici 2.4. je prikazan ispravan način rukovanja.

Prva metoda napada može se postići tako da napadač pošalje SYN zahtjev (engl. synchronize request) s prekrivenom IP adresom. Kada poslužitelj pokuša poslati SYN-ACK (engl. synchronize-acknowledge request) signal očito je da neće dobiti odgovor. Poslužitelj nikada ne dobije ACK (engl. acknowledge request) signal što znači da takva veza ostane otvorena i neiskorištena.

Druga metoda je da napadač jednostavno ne odluči poslati ACK signal.

Obje metode opteretit će poslužitelja koji strpljivo čeka ACK signal od klijenta. U današnje vrijeme propust u ovom dijelu TCP protokola je ispravljen te se ovakav napad može izvršiti samo na starija računala.

2.2.6. Teardrop napad

U teardrop napadu fragmentirani paketi šalju se po ispremiješanom redoslijedu. Kada ih ureñaj kojem su namijenjeni primi i sastavi neće znati što raditi s takvim zahtjevom. U tom slučaju kod starih operacijskih sustava dolazilo je do rušenja.

8

2.2.7. DDoS napad

Ova vrsta DoS napada daleko je najopasnija od svih napada uskraćivanjem usluge. To je zbog toga što ne postoji jednostavan način kako se zaštititi.

Umjesto zaštite nadogradnjom sustava i instaliranjem najnovijeg sklopovlja i programa, u ovom slučaju jedini je način zaštite uz pomoć dodatnih sustava.

DDoS napad je sličan napadu zatrpavanja ping naredbom. Razlika leži u tome što se napad izvršava istodobno s više različitih računala. U ovom slučaju, kao što je bilo istaknuto u uvodu, vlasnici računala sa kojih se izvršava napad ne moraju ni biti svjesni činjenice da se njihovo računalo koristi u napadu na neku web stranicu ili mrežu. Kontrola nad takvim tzv. zombi računalima može se pridobiti i iskorištavanjem nekih od propusta prelijevanja meñuspremnika.

Slika 2.5. DDoS napad

Od DDoS napada prilično se teško štiti. Postoje dva načina sprječavanja napada:

• nadogradnjom resursa kako bi se podnio dodatni promet i

• korištenjem sustava za detekciju i prevenciju mrežnih napada.

9

3. Sustavi za prevenciju i detekciju mrežnih napada

Sustav za prevenciju napada (engl. IPS – Instrusion Prevention System) je aplikacija ili ureñaj koji može detektirati i spriječiti napad na druge ureñaje spojene u mrežu. Ti sustavi nastali su kao dodatna mogućnost sigurnosnih stijena, a danas su se razvili u zasebne i neovisne proizvode. Postoje dvije osnovne vrste sustava za prevenciju napada: mrežni i lokalni. Mrežni IPS (engl. NIPS – Network IPS) analizira mrežnu aktivnost, dok lokalni IPS (engl. HIPS – Host IPS) prati aktivnost na nekom računalu.

Mrežni sustav za prevenciju napada integrira se kao dio ukupne sigurnosti neke mreže. U kombinaciji s ostalim sigurnosnim komponentama i lokalnim sustavom za prevenciju napada omogućuje robusnu zaštitu mreža i računala.

Sustavi za prevenciju napada su značajna karika u sigurnosti današnjih mreža i računala, meñutim tehnologija i dalje ima odreñena ograničenja o kojima će biti više riječi u sljedećim poglavljima.

3.1. Mogućnosti

Tehnologija sustava za prevenciju napada pruža mogućnost zaustavljanja invazivnog prometa prije nego što taj promet doñe do same mreže, tako što se u mrežu prije usmjernika postavlja senzor u ethernet sloj. Senzor je spojen na mrežu preko dva sučelja, kako je prikazano na slici 3.1. Cijeli promet koji prolazi kroz senzor provjerava se od strane sustava za prevenciju napada.

Slika 3.1. IPS senzor u mrežnom okruženju

Glavna razlika izmeñu sustava za detekciju napada (engl. IDS – Intrusion Detection System) i sustava za prevenciju napada je mogućnost sustava za prevenciju napada da odbaci ili modificira promet koji prima na jednom od sučelja. Na taj način sprječava se odlazak originalnog prometa do njegovog odredišta unutar mreže.

10

Načini odbacivanja prometa su:

• odbacivanje jednog paketa,

• odbacivanje svih paketa u vezi i

• odbacivanje svih paketa koji dolaze od odreñene IP adrese.

3.1.1. Odbacivanje jednog paketa

Najjednostavniji oblik sustava za prevenciju napada je identificiranje sumnjivog paketa i njegovo odbacivanje. Takav paket neće stići do svog odredišta i mreža je zaštićena. Meñutim nedostatak ovog načina je što napadač može slati i više sumnjivih paketa jedan za drugim, odnosno sustav za prevenciju napada mora analizirati svaki paket zasebno što značajno okupira resurse ureñaja.

3.1.2. Odbacivanje svih paketa u vezi

Umjesto odbacivanja samo jednog paketa, sustav za prevenciju napada može na odreñeno vrijeme odbaciti cijeli promet za odreñenu vezu. U takvoj situaciji, kad je sumnjiv paket detektiran, isti se odbacuje zajedno sa svim ostalim paketima koji dolaze iza njega. Prednost odbacivanja svih paketa u vezi je to što se paketi nakon prvog detektiranog malicioznog paketa automatski odbacuju bez prethodne analize. Nedostatak je taj što napadač i dalje može poslati promet koji ne odgovara obilježjima veze koja se odbacuje (npr. može napasti neki drugi sustav ili uslugu na mreži). Isto tako nedostatak je što će se odbaciti i svi korisni paketi, ali ako je napadač ispravno prepoznat, takvih paketa ne bi trebalo ni biti.

3.1.3. Odbacivanje svih paketa koji dolaze s odreñene IP adrese

Na kraju slijedi mehanizam odbacivanja paketa koji odbacuje sav promet koji dolazi od odreñene IP adrese. U ovoj situaciji kada je detektiran sumnjiv paket, on se odbacuje zajedno sa svim ostalim prometom koji dolazi od IP adrese od koje je i došao taj prvi sumnjiv paket. Ovakva metoda odbacivanja paketa može se namjestiti samo na odreñeno vrijeme. U ovom načinu odbacivanja paketa IPS ureñaj koristi malo resursa jer se paketi odbacuju koristeći minimalan broj analiza. Najveći nedostatak je što napadač može sakriti svoju izvornu IP adresu i lažno se predstaviti kao neki drugi sustav. Isto tako moguće je da se sumnjiv paket detektira kao lažni napad i time spriječi propuštanje normalnog prometa na mreži.

3.2. Dodatne pogodnosti

Preusmjeravanjem prometa na nivou drugog sloja, IPS ureñaj, kako bi identificirao napad, može na mreži pregledati promet koji dolazi od strane raznih protokola. Ne propuštanjem opasnih paketa, IPS zaustavlja takav promet na mreži, ali isto tako pruža sljedeće dodatne pogodnosti:

• normalizaciju prometa i

• provoñenje sigurnosne politike.

11

3.2.1. Normalizacija prometa

Protokoli kao što je TCP rade na prethodno definiranom skupu pravila. Neki napadi, kao što je manipulacija TTL-om (engl. Time To Live), iskorištavaju pravila kako bi izbjegli detekciju. Normaliziranje prometa uključuje manipulaciju prometom kao što je TCP protokol kako bi se spriječile razne anomalije. Za sprječavanje napada koji se služe takvim anomalijama, koriste se neke manipulacije:

• Time to Live manipulacija – TTL manipulacija je manipulacija Time To Live parametra u TCP zaglavlju. Više o ovom obliku manipulacije nalazi se u poglavlju 3.7.5.

• Manipulacija URG kazaljkom – URG (engl. urgent) kazaljka u TCP zaglavlju pokazuje na dio podataka koji ima veći prioritet od ostatka. Kako TCP RFC nije precizan oko interpretacije URG zastavice, neki sustavi drugačije interpretiraju URG kazaljku što može dovesti do njihove ranjivosti. Normalizacija se izvodi poništavanjem URG zastavice i kazaljke.

• Paketi izvan reda – Podaci u TCP protokolu dijele se na pakete koji neovisno putuju do odredišta te se pri primitku spajaju u originalnu poruku. Slanjem paketa u pomiješanom redoslijedu moguće je zbuniti primatelja. Normalizacijom se regulira tolerancija prema ispremiješanosti paketa. Napad koji koristi ovu tehniku je DoS napad teardrop (opisan u poglavlju 2.2.6.).

• Manipulacija veli činom TCP prozora – TCP prozor je količina podataka koje pošiljatelj može poslati u odreñenoj vezi prije nego što od primatelja dobije potvrdu o primitku. Neki napadi koriste velike prozore što može uzrokovati usporenja u radu TCP protokola. Normalizacijom se veličina TCP prozora ograničava na odreñenu vrijednost.

Normalizacija prometa fokusira se na napade zasnovane na TCP-u. Ovaj koncept se meñutim može primijeniti i na mnoge druge protokole. Kako IPS tehnologija evoluira tako će i mogućnosti normalizacije rasti i podržavati sve veći skup protokola, što će prilikom napada na sustav omogućiti sve teže izbjegavanje detekcije.

3.2.2. Provoñenje sigurnosne politike

Sustav za prevenciju napada ima mogućnost provoñenja sigurnosne politike time što već posjeduje mogućnosti odbacivanja i modificiranja paketa. Npr. mnoge aplikacije, kao što je peer-to-peer (p2p) programska podrška, koriste kao odredišni pristup TCP 80 zbog činjenice što je često na sigurnosnim stijenama taj pristup otvoren kako bi se omogućio HTTP promet. Sigurnosna stijena ne može razlikovati promet koji prolazi pristupom 80, ona ne vidi razliku izmeñu HTML sadržaja i sadržaja raznih p2p programa koji koristi isto taj pristup. Meñutim pomoću sustava za prevenciju napada moguće je pratiti takav promet i ograničiti ga isključivo na promet koji po definiciji treba prolaziti TCP pristupom 80 (HTTP), a to je promet u skladu s pravilom RFC 2616 “Hypertext Transfer Protocol HTTP 1.1“.

12

3.3. Ograničenja

Kako bi uspješno štitio mrežu, sustav za prevenciju napada postavlja se u mreži izmeñu potencijalnog napadača i žrtve. Kao što se može vidjeti na slici 3.2, postoje tri smjera napada.

Slika 3.2. Smjerovi mogućih napada

1. Napadač se nalazi na Internetu i napada računalo na unutarnjoj mreži.

2. Napadač se nalazi na unutarnjoj mreži i napada drugo računalo na unutarnjoj mreži.

3. Napadač se nalazi na unutarnjoj mreži i napada računalo na Internetu.

Zaštita od napada 1 i 3 lako se postiže postavljanjem IPS ureñaja izmeñu usmjernika i preklopnika.

13

Slika 3.3. Postavljanje IPS ureñaja za cijelu mrežu

Meñutim zaštita protiv napada broj 2 je nešto teža. Za uspješnu zaštitu bilo bi potrebno postaviti ureñaje za prevenciju napada izmeñu preklopnika i svakog pojedinog računala na unutarnjoj mreži. Jedino se na taj način mogu štititi računala od meñusobnih napada.

Slika 3.4. Postavljanje IPS ureñaja za pojedino računalo

U ovakvoj situaciji učinkovitije bi bilo koristiti ureñaj za detekciju napada koji bi samo pasivno pratio promet izmeñu računala na privatnoj mreži. Jedan senzor za detekciju napada može pratiti promet sve dok ukupan promet izmeñu računala na privatnoj mreži ne prelazi ograničenja o propusnosti ureñaja za detekciju napada. Kako bi se povećala sigurnost u ovakvim situacijama moguće je koristiti i sustave za lokalnu prevenciju napada, naravno, u kombinaciji s ureñajima za prevenciju mrežnih napada.

14

3.4. Komponente sustava za prevenciju napada

NIPS ureñaji koriste senzore kako bi analizirali mrežni promet na mnogim točkama u mreži. Postoji više oblika senzora i podjela. Jedna od njih glasi:

• samostalni senzori u obliku ureñaja,

• kartični senzori i

• senzori integrirani u operacijski sustav mrežnog ureñaja.

Više detalja o gornjoj podjeli senzora nalazi se u poglavlju 3.5.3.

Bez obzira na oblik senzora, oni moraju imati mogućnost primanja mrežnog prometa koji mora biti analiziran. Hvatanje mrežnog prometa ovisi o tome da li ureñaj prati promet usporedno (engl. inline) ili u načinu rada u kojem se promet prisluškuje (engl. promiscuous mode).

Nakon što senzor uhvati paket, slijedi analiza čiji se rezultat kategorizira po sljedećim kategorijama:

• elementarna operacija;

• operacija pamćenja stanja;

• operacija dekodiranja protokola;

• operacija anomalije;

• operacija normaliziranja.

Nakon što je promet analiziran slijedi jedna od mogućih akcija:

• uzbuna,

• zapisivanje (engl. logging),

• blokiranje prometa (paketa) ili

• odbacivanje prometa (paketa).

Rezultat analize prometa koji je obavio senzor obično se prati kroz centraliziran sustav za prikupljanje podataka senzora. Preko tog sustava obično je moguće i podesiti rad senzora.

15

3.5. Senzori

Jedinstvena topologija mreže ukazuje na to koji bi IPS senzori bili najučinkovitiji za efikasno analiziranje prometa na mreži. Neki faktori koji odlučuju o odabiru vrste senzora su:

• budžet za sigurnost,

• količina mrežnog prometa,

• topologija mreže i

• osoblje za brigu i nadzor komponenti.

IPS senzori moraju pratiti mrežni promet, unatoč jedinstvenoj topologiji mreže. Bez obzira na količinu prometa koji senzor procesuira, dva su važna faktora koja značajno utječu na vrstu senzora: broj dostupnih sučelja i fizički oblik samog senzora. Ova tri aspekta odreñuju cijenu i efikasnost senzora koje planiramo postaviti u mrežu.

3.5.1. Kapacitet procesuiranja

Svaki senzor može procesuirati odreñenu količinu mrežnog prometa. Taj podatak je obično izražen u Mpbs i može iznositi od 10-ak Mbps pa sve do 1000 Mbps.

Različiti segmenti mreže bilježe različitu količinu mrežnog prometa. Važno je da se odaberu takvi senzori koji će moći obrañivati onu količinu prometa koja prolazi segmentom koji oni prate. Ako se postavi senzor čiji je kapacitet i više nego dovoljan za odreñeni segment, to osigurava da taj segment može podnijeti više prometa kako mreža raste, meñutim isto tako takav senzor povećava cijenu cijelog NIPS sustava zato što je obično cijena senzora proporcionalna količini prometa koji senzor može procesuirati.

Podatak o propusnosti senzora može zavarati jer je to podatak o “sirovoj“ propusnosti. Tako bi osim tog podatka trebalo uzeti u obzir i sljedeća dva faktora:

• prosječnu veličinu paketa i

• prosječnu količinu novih TCP veza u sekundi.

Ti faktori odreñuju o kakvoj se vrsti prometa radi tako da se obično uz podatak o propusnosti dodaje i podatak izražen u gornjim faktorima. Npr. ako je deklarirana propusnost od 250 Mbps, ona se može detaljnije definirati kao:

• 2500 novih TCP veza u sekundi,

• 2500 HTTP transakcija po sekundi,

• prosječna veličina paketa 445 okteta.

16

3.5.2. Sučelja

Osim kapaciteta, jedno od obilježja IPS senzora je i broj sučelja preko kojeg prima mrežni promet. Neki senzori imaju više sučelja što im omogućava istovremeno praćenje prometa na više mrežnih lokacija. U usporednom praćenju potrebna su barem dva sučelja kako bi se pratio promet na jednoj mrežnoj lokaciji.

Iako je dobro imati što više sučelja kojima možemo pratiti mrežu na više različitih lokacija, postoji opasnost da se doñe do točke kada suma prometa na svim sučeljima prelazi ukupni kapacitet procesuiranja.

3.5.3. Oblik i veli čina

Posljednji aspekt koji se uzima u obzir prilikom odabira senzora je njegov oblik. Kao što je bilo prije rečeno postoje tri oblika senzora, a to su: samostalni senzori u obliku ureñaja, kartični senzori i senzori integrirani u operacijski sustav mrežnog ureñaja.

Senzor u obliku ureñaja može se postaviti u bilo koje mrežno okruženje, meñutim, zauzima prostor u ormaru s mrežnim ureñajima (engl. rack). Ako se primjerice koristi kartični senzor (engl. blade-based) on je praktičniji jer se može lakše ugraditi u samu topologiju mreže, pogotovo ako raspolažemo ograničenim prostorom.

3.5.4. Samostalni senzori u obliku ureñaja

Kada se odlučimo na ugradnju IPS senzora u našu mrežu, samostalni senzori pružaju najveću fleksibilnost. Mogu se praktički postaviti bilo gdje u mreži. Meñutim, kao što je i bilo rečeno, zauzimaju prostor u koji se smještaju.

3.5.5. Karti čni senzori

Kartični senzori omogućuju iskorištavanje već postojećih mrežnih ureñaja kao što su sigurnosne stijene, usmjernici i koncentratori. Ne zauzimaju dodatni prostor u mrežnom ormaru i imaju prednost praćenja prometa direktno s mrežnog ureñaja u koji su ugrañeni. Jedini nedostatak ovakvog oblika senzora je da mogu biti skupi u slučaju da već ne postoji mrežni ureñaj u koji bi se mogli ugraditi. Isto tako ograničavajuća je činjenica da im je fleksibilnost ograničena u smislu mogućnosti spajanja na bilo koju točku u mreži.

3.5.6. Senzori integrirani u operacijski sustav mrežnog ureñaja

Kada je senzor za detekciju i prevenciju napada integriran u programsku podršku postojećeg mrežnog ureñaja, njegova funkcionalnost je obično ograničena u usporedbi sa samostalnim senzorom. To je zbog toga što ureñaj u kojem je IPS integriran obavlja i druge dužnosti osim detekcije i prevencije napada i time IPS raspolaže ograničenim resursima. Ovisno o mrežnom okruženju, reducirana funkcionalnost možda i neće biti problem. Svakako, integriranje IPS softvera u postojeću infrastrukturu je isplativo, pogotovo ako se radi o manjim mrežama. Primjeri ovakvog oblika sustava za prevenciju mrežnih napada je samostalni ureñaj Proventia i Linux distribucija otvorenog koda IPCop.

17

3.6. Praćenje mrežnog prometa

Senzori sustava za prevenciju napada mogu pratiti promet samo ako ga primaju na jednom od svojih sučelja. Usporedno praćenje koristi parove sučelja, dok praćenje prisluškivanjem zahtjeva samo jedno sučelje.

3.6.1. Praćenje paketa u usporednom načinu

Pokretanje senzora u usporednom načinu zahtjeva dakle dva sučelja kako bi se promet premostio izmeñu dva dijela mreže. Obično se ovakav senzor postavlja izmeñu dva usmjernika ili izmeñu usmjernika i privatne mreže. Kako bi sustavi spojeni na privatnu mrežu došli do vanjske mreže moraju proći kroz usmjernik, dakle i kroz IPS senzor. Isto to vrijedi i za sustav koji iz vanjske mreže želi pristupiti sustavu na privatnoj mreži.

Slika 3.5. Usporedno praćenje paketa

Meñutim, promet izmeñu dva sustava koji se nalaze na privatnoj mreži ne može se pratiti pomoću tako postavljenog senzora.

IPS senzor u usporednom načinu rada postavlja se u sljedeće tipične mrežne lokacije:

• izmeñu dva usmjernika,

• izmeñu sigurnosne stijene i usmjernika,

• izmeñu preklopnika i usmjernika,

• izmeñu preklopnika i sigurnosne stijene i

• izmeñu dva preklopnika.

3.6.2. Praćenje prometa u načinu prisluškivanja

Na mrežnoj razini IPS senzori su oči sustava za prevenciju napada. Meñutim kako bi se detektirala mrežna aktivnost, senzori koji rade u načinu prisluškivanja moraju vidjeti promet koji prolazi kroz mrežu. Preko svojih sučelja kojima prate promet, senzori u ovom načinu analiziraju samo promet koji i vide. Osim ako mrežni ureñaj nije spojen na koncentrator, IPS senzor može vidjeti samo Broadcast promet. Tako da se obično mora prilagoditi mrežna infrastruktura kako bi ostali mrežni ureñaji prosljeñivali odreñeni mrežni promet do sučelja senzora. Takoñer u načinu prisluškivanja IPS senzori obično nemaju vlastitu IP adresu pa su njihova sučelja praktički nevidljiva na mreži (s gledišta IP sloja OSI modela). Kako bi se detektirao napad, senzori su u ovom načinu rada obično spojeni na mrežni ureñaj koji duplicira mrežni promet da bi ga mogao proslijediti senzoru na analizu.Mrežni ureñaji kojima se može pratiti promet su:

18

• koncentratori,

• mrežni prisluškivači i

• preklopnici.

Koncentrator je jednostavan mrežni ureñaj koji, kada primi paket s ureñaja koji je spojen na njega, proslijedi taj isti paket svim ostalim spojenim ureñajima.

Slika 3.6. Mreža sa koncentratorom

Gornja slika prikazuje kako sustav A šalje paket sustavu C, a svi ostali spojeni sustavi takoñer prime kopiju tog prometa. Obično ti sustavi ignoriraju takav promet jer on ne odgovara njihovoj mrežnoj adresi (MAC).

U takvom mrežnom okruženju IPS senzor se takoñer spaja na koncentrator i on za razliku od ostalih ureñaja ne ignorira pakete na osnovi MAC adrese, već ih sve prima i analizira.

Mrežni prisluškiva či se koriste kada želimo pratiti promet na segmentu mreže u kojem ureñaji nisu spojeni preko koncentratora ili preklopnika. U takvom okruženju ureñaji su obično direktno spojeni pa koristimo metodu prisluškivanja ili metodu usporednog praćenja. Ureñaji koji koriste metodu prisluškivanja imaju mogućnost razdvajanja full-duplex veze u dva odvojena toka podataka (svaki predstavlja promet koji dolazi od jednog ureñaja). Odvojeni tokovi mogu se preusmjeriti u preklopnik koji preusmjeruje promet do originalnog primaoca, ali isto tako koji ga preusmjeruje i do senzora.

Preklopnici, slično kao i koncentratori, dupliciraju promet kako bi se kopija prometa proslijedila senzoru.

19

3.7. Analiza mrežnog prometa

Nakon što primi mrežni promet IPS senzor mora izvršiti analizu na temelju koje će provesti odreñene akcije zasnovane na rezultatima te analize. Rezultat analize svrstava se u jednu od kategorija:

• elementarna operacija,

• operacija pamćenja stanja,

• operacija dekodiranja protokola,

• operacija anomalije i

• operacija normaliziranja.

3.7.1. Elementarna operacija

Neki napadi sadrže potpise pomoću kojih se cijeli napad može identificirati na temelju analize sadržaja samo jednog paketa. Takvi potpisi se najlakše obrañuju zato što IPS senzor mora analizirati samo jedan paket kako bi odredio prisutnost napada. Ova operacija detektira potpis bez obzira na pakete koji prethode ili slijede iza dotičnog paketa.

3.7.2. Operacija pamćenja stanja

Ne mogu se svi potpisi obraditi bez da se zna stanje paketa kojeg je senzor prethodno promatrao na mreži. Npr. mnogi TCP zasnovani potpisi zahtijevaju da promet bude dio ispravne TCP veze kako bi potpis uzrokovao akciju. Tako IPS senzor mora pratiti i listu ispravnih veza koje promatra, a koja mora uključivati informacije o pojedinoj vezi. To su podaci kao:

• izvorni pristup,

• odredišni pristup,

• broj trenutnog poretka paketa na izvoru,

• broj trenutnog poretka paketa na odredištu i

• stanje veze.

Obično se informacija o stanju veze čuva samo odreñeno vrijeme. Kada se nakon duljeg čekanja neaktivna veza prekine, a prostor koji zauzimaju neaktivne veze ne iskoristi ponovo, postoji opasnost da napadač okupira značajne resurse senzora tako što otvori puno novih veza i nikad ih ne prekine. Tada bi prilikom analize novih veza čuvanje informacije o stanju veze dovelo do smanjenja učinkovitosti senzora.

20

3.7.3. Operacija dekodiranja protokola

Umjesto da pretražuju promet po listi svih zloćudnih nizova znakova, mnogi IPS sustavi dekodiraju promet na temelju specifikacije protokola kojemu taj promet pripada. Takav pristup omogućuje analizu prometa na način da se radi potraga za vrijednostima koje ne zadovoljavaju specifikaciju odreñenih parametara protokola. Ovakvom provjerom možemo identificirati promet koji se ne bi smio odvijati tim protokolom. Za primjer možemo uzeti peer-to-peer promet koji kao odredišni pristup ima pristup 80, koji je u biti rezerviran za HTTP promet. Takoñer, dekodiranje prometa po specifikaciji omogućuje veću preciznost identificiranja prometa pomoću potpisa, što umanjuje mogućnost otkrivanja lažnih napada.

3.7.4. Operacija anomalije

Kada senzor primi promet koji odstupa od normalnih vrijednosti definiranih za neki parametar, rezultat takve analize nazivamo operacija anomalije. Npr. Neka normalna količina prometa za ICMP protokol iznosi 100 Kb po sekundi pa sve do 1 Mb, čije trajanje ne može biti dulje od sekunde. Ako kroz tako definiran protokol pustimo promet od 500 Kb po sekundi u trajanju od primjerice 5 sekundi, senzor će prepoznati takav promet kao anomaliju.

3.7.5. Operacija normaliziranja

Kada IPS senzor radi spojen u usporednom načinu, može mijenjati samo onaj promet koji prima na jednom od sučelja. Takva funkcionalnost može se iskoristiti u raznim situacijama, kao što je recimo uklanjanje TTL (engl. Time to Live) anomalija u TCP vezi. Normalizacija prometa radi na sljedeći način:

1. Senzor prima paket na sučelju.

2. Senzor analizira paket.

3. Okida se potpis podešen za normalizaciju.

4. Senzor generira normaliziran paket.

5. Senzor prosljeñuje normaliziran paket na izlazno sučelje.

Dobar primjer kako normalizacija modificira pakete može se ilustrirati TTL poljem u TCP vezi. Kada pošiljatelj šalje paket preko mreže, on postavlja inicijalnu vrijednost TTL polja. Prilikom preusmjeravanja svaki usmjernik umanjuje tu vrijednost. Ako TTL doñe do 0 prije nego što je paket stigao na odredište, dolazi do odbacivanja paketa.

Napadač može pokušati poslati pakete s različitom inicijalnom vrijednosti TTL polja u nadi da će paketi s manjom vrijednošću biti analizirani od strane IPS ureñaja, ali da neće uspjeti stići do odredišta. To dovodi do pogrešne analize sustava za detekciju i prevenciju napada jer paketi koje je analizirao ne odgovaraju paketima koji su zaista stigli do odredišta.

Korištenjem normalizacije IPS senzor spojen u usporednom načinu može automatski podesiti TTL vrijednost tako da se na svim paketima u odreñenoj vezi podesi na najmanju izmjerenu vrijednost. Tako su paketi nad kojima je obavljena analiza istovjetni paketima koji su i stigli do odredišta.

21

3.8. Reakcija na mrežni promet

Nakon što je potencijalno maliciozan promet identificiran, IPS senzor mora pokrenuti odreñenu akciju koja može biti:

• uzbuna,

• zapisivanje,

• blokiranje paketa ili

• odbacivanje paketa.

3.8.1. Uzbuna

Uzbuna, odnosno alarm, označava da je senzor detektirao promet koji je povrijedio sigurnosnu politiku. Uzbune su samo informativne i ne sprječavaju promatrani promet da prolazi mrežom. Dobra analogija je provalnički alarm koji se instalira u urede i kućanstva. Nakon što je provalnik provalio, alarm emitira glasnu buku, meñutim ne sprječava provalnika u krañi.

3.8.2. Zapisivanje

Zapisivanje je akcija u kojoj senzor sustava za prevenciju napada drži listu zabilježenog prometa koji je prepoznat kao prijetnja. Zapisivanje u smislu prethodne analogije može se usporediti s video kamerama koje vizualno snimaju što se dogaña. Ovakva akcija isto kao i uzbuna ne sprječava napadača u svom naumu. Meñutim ovaj način prikupljanja može biti koristan u svrhe dokaza ukoliko se odlučimo na tužbu protiv napadača. Isto tako može poslužiti za utvrñivanje je li neki napad bio lažan.

3.8.3. Blokiranje paketa

Blokiranje prometa radi na principu kreiranja kontrolnih lista, na temelju kojih senzor obavijesti druge dijelove sustava za prevenciju napada koji obavljaju blokiranje. Ova akcija je originalno nastala u sustavima za detekciju napada. Takvi sustavi su pasivno pratili mrežu, pa im je mogućnost blokiranja prometa omogućila da reagiraju na napade i na odreñeno vrijeme zaustave promet koji generira napadač. Nedostatak ove akcije je da promet prije akcije dolazi do odredišta i možda otvara propust koji napadač može kasnije iskoristiti spajanjem s druge IP adrese koja nije blokirana.

3.8.4. Odbacivanje paketa

Odbacivanje paketa pojavilo se dolaskom sustava za prevenciju napada. Ova tehnika pruža najveću zaštitu od napada tako što sprječava maliciozne pakete da stignu do odredišta.

22

3.9. Lažno pozitivni napadi

Sustavi za detekciju i prevenciju napada koriste heurističke algoritme za odreñivanje je li nešto napad ili nije. Što znači da postoji opasnost da promet koji nije napad bude prepoznat kao napad i stoga zaustavljen. Takav promet može biti nešto sasvim beznačajno, ali isto tako može i nositi važnu informaciju poslovnog ili privatnog sadržaja. Podatak o broju lažno pozitivnih napada (engl. false-positive) obično se izražava u postocima od ukupnog prometa koji sustav za prevenciju napada analizira.

23

4. Samostalni ureñaj za otkrivanje i zaštitu od napada

U okviru ovog rada korišten je samostalni ureñaj za otkrivanje i zaštitu od napada tipa Proventia, proizvod tvrtke IBM Internet Security Systems. Proventia je serija multifunkcionalnih ureñaja za zaštitu mreže od mnogobrojnih napada. Osim modernih mogućnosti zaštite tehnikom NIPS, Proventia pruža i druge mogućnosti kao što su sigurnosna stijena, spam i web filter, zaštita od virusa, usmjernik, DHCP server, DNS server i ostale mogućnosti koje se očekuju od takvog ureñaja.

Slika 4.1. Proventia M10

Ureñaj je zasnovan na Linux operativnom sustavu te se administrira kroz web sučelje ostvareno u Java okruženju. Korisničko sučelje sadrži niz opcija koje omogućuje održavanje ureñaja uz malo napora. Najveća mana sučelja je njegova sporost prilikom izvršavanja nekih operacija, a i organizacija i broj postavki može odati dojam kompliciranosti.

Najveća prednost ureñaja je paleta alata za zaštitu od raznih napada i prijetnji koje možemo danas susresti na Internetu. Isto tako veliki je plus mogućnost automatske nadogradnje sustava i baze podataka propusta, antivirusa i antispama.

4.1. Sažetak mogućnosti Proventie

Proventia nudi sljedeće mogućnosti:

• kombiniranu zaštitu ostvarenu tehnologijama prevencije napada, antivirusnu zaštitu, sigurnosnu stijenu, VPN (engl. Virtual Private Networking), web filtriranje i antispam,

• automatsku zaštitu od približno 1000 različitih napada,

• automatsku nadogradnju sustava i baza podataka i

• mogućnost garantirane zaštite u slučaju da ureñaj održava tvrtka ISS. Ukoliko se dogoditi povreda sigurnosti u bilo kojem mjesecu ISS vraća naknadu za održavanje koju je klijent platio za dotični mjesec.

Po specifikaciji proizvoñača Proventia pruža zaštitu putem blokiranja više od 1000 propusta što omogućuje zaštitu od približno 2500 različitih napada. U području antivirusne zaštite posjeduje bazu od 120 000 potpisa virusa koju je pružila tvrtka Sophos. Proizvoñač takoñer garantira 93% antivirusnu zaštitu po vrsti ponašanja virusa, a što se tiče spama pruža zaštitu od 95% neželjene elektronske pošte takve vrste. Zaštita od nepoćudnih web stranica omogućena je bazom podataka od 60 milijuna kategoriziranih URL-ova.

24

4.2. Modeli ureñaja

Na temelju ciljanog tržišta ISS je u M seriji Proventia ureñaja ponudio tri osnovna modela. Glavna razlika izmeñu sva tri modela nalazi se u obujmu broja korisnika i propusnosti mreže koji ureñaj može podržati. Što se tiče same funkcionalnosti i mogućnosti ureñaja, sva tri modela potpuno su jednaka. Slijedi tablica usporedbe sva tri modela.

Slika 4.2. Modeli Proventia M serije

Tablica 4.1. Modeli Proventia ureñaja

Model MX1004 (M10) MX3006 (M30) MX5010 (M50)

Najveći broj korisnika

100 500 2,500

Ciljano okruženje Udaljeni uredi

Manje tvrtke Srednje tvrtke Velike tvrtke

Tip kućišta Desktop 1U (rack poslužitelj)

2RU (rack poslužitelj)

Sučelja 4 x 10/100 Mbps 6 x 10/100 Mbps 10 x 10/100 Mbps

Propusnost (sigurnosna stijena)

100 Mbps 200 Mbps 1600 Mbps

25

4.3. Proventia M10

Proventia M10 prethodnik je novije verzije MX1004. Razlika tih dvaju ureñaja uglavnom je sklopovske prirode, što znači da i dalje postoji programska podrška za stariji model.

Ureñaj je zasnovan na Intel Celeron procesoru i matičnoj ploči opremljenoj s 512MB radnog spremnika te 30GB tvrdog diska. Od sučelja posjeduje četiri 10/100Mbps mrežna sučelja te 9-pinsko serijsko sučelje za pristup ureñaju preko konzole.

Glavna odlika ovog sustava je mogućnost automatskog ažuriranja baze podataka propusta. Bazu podataka održava X-Force tim tvrtke ISS koji se bavi isključivo svakodnevnim ispitivanjem i traženjem propusta te, naravno, izradom zaštite koja se kao nadogradnja automatski instalira na Proventiu. Kako je Proventia komercijalan proizvod, njena najveća prednost je kvalitetna podrška što se tiče nadogradnje i svakodnevne zaštite od napada. Nedostatak ovakvog oblika izdavanja nadogradnji je nemogućnost izrade vlastite odnosno prilagoñene zaštite od odreñenog napada. Meñutim kako je Proventia namijenjena korisnicima koji se ne bave (niti žele baviti) izradom zaštite, taj nedostatak i ne predstavlja problem.

4.3.1. Instalacija

Ureñaj se instalira slično kao i obična sigurnosna stijena i usmjernik. Dakle Proventia se postavi u mrežu izmeñu vanjske mreže (obično Internet) i privatne mreže koja se želi zaštiti. Računala koja štitimo mogu se spojiti direktno na Proventiu, a isto tako moguće je spojiti i preklopnik te tako omogućiti spajanje još više računala.

Na slikama 4.3. i 4.4. prikazana su i objašnjena prednja i zadnja strana ureñaja.

Slika 4.3. Prednja strana Proventie M10

Prije instalacije i inicijalnog postavljanja ureñaja potrebno je konfigurirati mrežno sučelje računala preko kojeg ćemo obaviti instalaciju. Mrežno sučelje računala potrebno je postaviti tako da prima postavke preko DHCP protokola.

Nakon što je računalo postavljeno potrebno je spojiti ga s Proventia ureñajem pomoću mrežnog kabela, spajamo ga na sučelje privatne mreže – INT0.

26

Slika 4.4. Zadnja strana Proventie M10

Sljedeći korak je spajanje na administraciju Proventie. Moguće je spojiti se preko web preglednika te preko serijske veze. U ovom radu korišteno je spajanje preko web preglednika. Kako bi se spojili u web preglednik (npr. Mozilla Firefox) upiše se sljedeća web adresa https://192.168.123.123. Pri spajanju potrebno je upisati inicijalne korisničke podatke:

• Username = admin,

• Password = admin.

Prilikom prvog spajanja pokrenut će se “čarobnjak“ koji korisnika vodi kroz osnovne postavke kao što su DHCP i način rada. Prije nego što se ureñaj spoji u konačno okruženje potrebno je još instalirati licencu, načiniti nadogradnju, uključiti module za zaštitu, podesiti sigurnosnu stijenu, mrežu, parametre usmjernika, te na naposljetku načiniti i sigurnosnu kopiju cijelog sustava.

Proventia pruža dva osnovna načina rada, a to su usmjernički i transparenti.

Korisnik treba odlučiti u kojem načinu rada će spojiti Proventia ureñaj u svoju mrežu. Transparentni način rada se jednostavnije uklapanja u postojeću mrežu jer ne zahtijeva vlastitu IP adresu. Meñutim ukoliko se pokaže potreba za dodatnim usmjerničkim mogućnostima svakako se preporuča prebacivanje u usmjernički način rada koji zahtjevnijim korisnicima pruža sve mogućnosti Proventia ureñaja.

4.3.2. Usmjernički način rada

U ovom načinu rada ureñaj pruža sve mogućnosti, dakle, izmeñu ostalog, mogućnosti sigurnosne stijene i virtualne privatne mreže (engl. VPN – Virtual Private Network). Pruža takoñer mogućnosti statičkog i dinamičkog usmjeravanja prometa. U dinamičkom načinu rada promet se usmjerava OSPF (engl. Open Shortest Path First) algoritmom. Ovaj način rada zahtijeva i vlastitu IP adresu za sva sučelja.

4.3.3. Transparentni način rada

Transparentni način rada pruža iste mogućnosti zaštite kao i usmjernički. Razlika je u tome što u ovom načinu rada ureñaj ne zahtijeva vlastitu IP adresu. To je zbog toga što je ureñaj spojen na “most“ (engl. bridge) način. Meñutim ovaj način spajanja ima i odreñenih

27

nedostataka, tj. nemogućnost pružanja naprednijih usmjerničkih mogućnosti kao što su NAT, OSPF i VPN.

4.3.4. Prikaz osnovnih podataka

U izborniku odabirom stavke “Home“ dobije se prikaz osnovnih podataka o stanju sustava. Na lijevoj strani prozora može se provjeriti status svih podsustava, a na desnoj strani podaci kao što su model ureñaja, serijski broj, broj sučelja, verzije sustava i podsustava itd. Ovaj prozor ujedno je i početni prozor koji se prikaže prilikom spajanja na ureñaj.

Slika 4.5. Osnovni podaci

28

4.3.5. Sustav za zaštitu od neželjene pošte

Antispam odnosno sustav za zaštitu od neželjene pošte modul je Proventie koji omogućuje automatsko otklanjanje neželjene pošte kroz kontroliranje protokola SMTP i POP3. Sustav radi na temelju baze ključnih riječi, slika i URL-ova koji se povezuju sa neželjenom poštom i ostalim ilegalnim sadržajem.

Slika 4.6. Podsustav za zaštitu od neželjene pošte

Sustav za zaštitu od neželjene pošte podržava sljedeće mogućnosti:

• odabir protokola koji će se pratiti (SMTP i POP3),

• postavka tolerancije algoritma koji detektira neželjenu poštu,

• način obrade neželjene pošte (moguće je obrisati poruku ili je samo označiti),

• odabir teksta koji će se dodati u temu (engl. subject) poruke u slučaju označavanja,

• listu adresa na koje će biti dozvoljeno slanje pošte (engl. whitelist) i

• listu adresa koje trebaju biti blokirane (engl. blacklist)

29

4.3.6. Sustav za zaštitu od virusa

Ovaj sustav nudi nekoliko tehnika kojima je moguće prepoznati i ukloniti računalne viruse:

• Detekcija zasnovana na potpisima radi na način da se elektronska pošta, prijenos datoteka i web sadržaj pretražuju za potpisima poznatih virusa. Bazu potpisa održava tvrtka ISS. Ukoliko se u nekom od sadržaja prepozna virus, takav sadržaj se prebacuje u karantenu.

• Detekcija virusa po ponašanju tehnika je kojom se analizira elektronska pošta, prijenos datoteka i web sadržaja u potrazi za malicioznim kodom. Npr. neki maliciozni programi imaju mogućnost samo umnožavanja pa se u tom slučaju vrši pretraga za kodom za samo umnožavanje. Dakle ovom tehnikom moguće je prepoznati viruse za koje još ne postoji potpis. Ovakva vrsta prevencije naziva se još i nula-dan prevencija (engl. day-zero prevention). Sadržaji u kojima je prepoznat virus prebacuju se u karantenu. Nedostatak je što je ovakva analiza ograničena na datoteke ne većih od 100 MB.

Slika 4.7. Sustav za zaštitu od virusa

30

4.3.7. Sigurnosna stijena

Kada je pravilno podešena, sigurnosna stijena ograničava pristup cijeloj privatnoj mreži ili njenom dijelu.

Slika 4.8. Sigurnosna stijena

Uz ograničenje pristupa sigurnosna stijena na Proventiji nudi sljedeće mogućnosti:

• Filtiranje paketa – sigurnosna stijena filtrira promet na temelju informacija kao što su izvorna IP adresa, odredišna adresa, protokol i druga definirana pravila.

• NAT (engl. Network Address Translation) – na temelju definiranih pravila sigurnosna stijena zamjenjuje IP adresu u prometu. Cilj je sakriti privatnu IP adresu od javnog sučelja na način da se promet sa privatne mreže prema javnoj odvija preko jedne javne IP adrese.

• Filtriranje prometa aplikacija – sigurnosna stijena na temelju definiranih pravila filtrira promet elektronske pošte (SMTP i POP3 protkol), web promet (HTTP protkol) te prijenos datoteka (FTP protkol).

Sigurnosna stijena koristi politiku pristupa (engl. access policy) kako bi regulirala promet koji ulazi i izlazi na sučelja i mreže koje su spojene na njih. Promet se može propustiti ili blokirati.

31

4.3.8. Sustav za prevenciju mrežnih napada

Na panelu sustava za prevenciju mrežnih napada podešava se njegov rad. Slika 4.9. prikazuje glavni panel “Protection Settings“ u kojem se može uključiti i isključiti IPS sustav, kao i zaštita koja koristi ISS X-Force bazu potpisa.

Slika 4.9. Sigurnosne postavke

IPS sustav Proventie nudi sljedeće mogućnosti:

• detekciju i blokiranje napada u tijeku,

• detekciju i blokiranje neautoriziranih aktivnosti kao što su pretraga pristupa i nadzor mreže,

• obavijesti slanjem elektronske pošte,

• zapisivanje informacija o napadu i ostalim aktivnostima sustava te

• filtriranje dogañaja.

Na panelu “Event Notifications“ podešavaju se postavke o načinu obavještavanja o detektiranom i zaustavljenom napadu. Moguće je prilično detaljno podesiti obavijesti npr. da se nakon detektiranog napada pošalje elektronska pošta. Moguće je i zasebno podesiti obavijesti o napadima koji jesu i nisu bili blokirani.

32

Slika 4.10. Dojava dogañaja

Na panelu “Event Filters“ podešavaju se opcije filtriranja specifičnih napada na temelju podataka o napadaču ili žrtvi. Dakle, ukoliko se želi, moguće je podesiti sustav tako da odreñene napade ne blokira.

Slika 4.11. Filtri dogañaja

33

Na panelu “Advanced Parameters“ podešavaju se neke od naprednijih mogućnosti IPS sustava.

Slika 4.12. Napredne postavke

4.13. Lista napada

34

Na panelu “Issue List“ (slika 4.13.) moguće je dobiti pregled svih potpisa o napadima koje sustav za detekciju i prevenciju napada prepoznaje. O napadima su dostupni sljedeći podaci: ime, jedinstvena oznaka, vrsta napada, protokol, prioritet, stanje i vrsta akcije.

4.3.9. Praćenje stanja sustava za prevenciju napada

Nakon što je IPS sustav podešen moguće je pratiti njegov rad u zasebnom prozoru “Alerts“. U ovom prozoru prevladava lista otkrivenih i zaustavljenih napada. Uz ime napada prikazani su i dodatni podaci kao što je prioritet odnosno ozbiljnost napada te dodatni podaci o vezi.

Takoñer uz većinu napada dostupan je i detaljan opis napada iz baze podataka tvrtke ISS odnosno njihovog X-Force tima.

Slika 4.14. Upozorenje

35

5. Rješenje otvorenog koda za otkrivanje napada

U ovom radu za otkrivanje napada korišteno je i rješenje otvorenog koda – IPCop. To je Linux distribucija čija je svrha pružiti jednostavno upravljiv multifunkcionalni sigurnosni mrežni ureñaj zasnovan na PC sklopovlju. Nastao je iz SmoothWall Linux distribucije. Kako se razvija potpuno neovisno, trenutno se uvelike razlikuje od izvorne distribucije. Glavno obilježje IPCop-a jest jednostavno korištenje te mehanizam polu-automatskog instaliranja najnovijih nadogradnji.

5.1. Informacije o sustavu

5.1. Obilježja

IPCop, kao i slične sigurnosne stijene, ima mogućnost upravljanja različitim sučeljima kako bi prije svega korisniku pružio mogućnost korištenja u većini mrežnih konfiguracija. U trenutnoj verziji dostupna su sljedeća sučelja:

• GREEN – sučelje unutar mreže (privatno sučelje)

• RED – sučelje izvan mreže (javno sučelje – Internet)

• ORANGE (DMZ) – unutarnji dio mreže direktno dostupan izvana (demilitarizirana zona)

• BLUE – unutarnja mreža za WiFi vezu

36

• alias na RED sučelje

Sklopovski zahtjevi IPCop-a omogućuju korištenje i starog sklopovlja u svrhe sigurnosne zaštite. Zahtjevi su minimalni:

• podrška za i386 i alpha arhitekturu,

• podrška za spremnik od 12 MB do 4 GB,

• IDE, SCSI, SATA i RAID disk kontroleri s minimalno 250 MB prostora,

• mrežne kartice (ISA / PCI),

• SMP jezgra na i386 za HT (engl. Hyper Threading) i višejezgrene procesore i

• instalacija na Flash spremnike (engl. USB stick).

Distribuciju je moguće instalirati i podići na više načina:

• podizanje s floppy jedinice,

• podizanje s IDE / SCSI cd-rom,

• podizanje s USB spremnika i

• instalacija sa HTTP / FTP poslužitelja.

5.2. Mogućnosti

• DHCP klijent / poslužitelj – IPCop pruža mogućnosti DHCP poslužitelja. Moguće je podesiti opcije kao što su početna i završna IP adresa, statičko dodjeljivanje IP adrese na temelju fizičke adrese mrežnog sučelja, itd.

• Dinamički DNS – Prilikom automatske promjene IP adrese od strane pružatelja Internet usluga ovaj servis omogućuje dodjeljivanje nove adrese statičkoj domeni koja je registrirana na jednom od Internet servisa koji nude takvu uslugu. IPCop podržava veću skupinu takvih Internet servisa.

• Ručna konfiguracija DNS-a preko web sučelja – Moguće je ručno podesiti zapise DNS poslužitelja.

• HTTP / FTP proxy – IPCop pruža mogućnosti proxy poslužitelja.

• IDS na svim sučeljima – Sustav za detekciju napada moguće je uključiti na javnom (RED) i privatnom (GREEN) mrežnom sučelju.

37

• Dnevnik privatnog i javnog prometa – IPCop može zapisivati informacije o prometu na privatnim i javnim mrežnim sučeljima. Ova opcija je korisna ukoliko se želi otkriti kakav promet prolazi mrežom na koju je spojen IPCop.

• NTP klijent / poslužitelj – NTP (engl. Network Time Protocol) je protokol za sinkronizaciju vremena preko mreže. IPCop može sinkronizirati vlastiti sat preko servisa na Internetu, a isto tako može pružiti NTP uslugu i ostalim ureñajima koji su spojeni na njega.

• SSH poslužitelj – IPCop radi na Linux operacijskom sustavu pa nudi mogućnost spajanja na to računalo putem SSH protokola. SSH pristup se može dozvoliti i zabraniti preko web sučelja.

• Oblikovanje prometa – Na javnom (RED) sučelju IPCop nudi mogućnost oblikovanja prometa (engl. traffic shaping) kojim se na temelju protokola i pristupa može odrediti prioritet prometa.

5.2. Proxy mogućnosti

38

5.2.1. Sigurnosna stijena

IPCop nudi sljedeće mogućnosti sigurnosne stijene:

• Pamćenje stanja – Pamćenje stanja (engl. statefull firewall) je obilježje sigurnosnih stijena da pamte stanje prometa na mrežama koje prate. Praćenje paketa omogućuje prepoznavanje da li neki paket pripada odreñenoj vezi ili ne. Ukoliko ne pripada, takav paket se odbacuje.

• NAT – vidi supra pod 4.3.7.

• Preusmjeravanje pristupa – Za pristup “izvana“ odreñenim računalima spojenim na privatno (GREEN) sučelje potrebno je podesiti preusmjeravanje pristupa (engl. port forwarding). Moguće je podesiti detalje o preusmjeravanju pristupa kao što su: protokol (TCP ili UDP), izvorni pristup, odredišni pristup te odredišna IP adresa.

• Pin-hole na GREEN i BLUE mreži – Ukoliko želimo omogućiti pristup iz DMZ (demilitarizirane zone) mreže računalima spojenim na privatnu mrežu (GREEN) koristimo pin-hole. Kako je DMZ mreža u potpunosti dostupna sa javnog sučelja i time ranjiva, zbog sigurnosti privatne mreže nije moguće uspostaviti direktnu vezu izmeñu DMZ mreže i privatne (GREEN) mreže. Pin-hole rješava taj problem tako što omogućava podešavanje dostupnosti samo odreñenim računalima i pristupima privatne mreže iz DMZ mreže.

• Podešavanje odgovora na PING – kako bi se spriječili neki od DoS napada korisna je mogućnost odbacivanja ping naredbi koje dolaze do sigurnosne stijene.

5.3. Sigurnosna stijena

39

5.3. Sustav za detekciju napada

Sustav IPCop-a za detekciju napada programsko je rješenje otvorenog koda – Snort. Program je izrañen primarno za Linux operacijski sustav te je sposoban izvršavati analizu prometa u stvarnom vremenu i zapisivati informacije o paketima na IP mrežama. Može izvršavati analizu protokola, pretraživanje sadržaja kako bi detektirao početak napada; npr. napade prelijevanjem meñuspremnika, skeniranje pristupa, CGI napade, itd. IPCop u svrhe IDS-a koristi podsustav Snort koji se zasebno razvija i koji je kao takav uključen u IPCop Linux distribuciju.

Slika 5.4. Postavke Snorta

Snort koristi fleksibilan konfiguracijski jezik zasnovan na pravilima koji omogućavaju opisivanje prometa koji se treba propustiti ili blokirati. Isto tako, posjeduje mogućnost proširivanja funkcionalnosti zbog modularne arhitekture programa.

Snort ima tri glavne svrhe korištenja. Može se koristiti za promatranje cijelog mrežnog prometa, za praćenje paketa (korisno za otklanjanje problema u razvoju mrežnih aplikacija) i kao sustav za detekciju i prevenciju mrežnih napada.

40

5.3.1. Komponente

Snort je logički podijeljen na više komponenti. Te komponente rade zajedno kako bi detektirale pojedine napade i kako bi generirale izlaz u zadanom obliku. Snort sustav sastoji se od sljedećih glavnih komponenti:

1. Dekoder paketa

2. Predprocesor

3. Sustav za detekciju napada

4. Sustav za zapisivanje i uzbunjivanje

5. Izlazni moduli

Slika 5.5. Shema komponenti Snorta

Dakle, svaki paket koji doñe s Interneta ulazi u dekoder paketa. Na putu do izlaznih modula paket se odbacuje, zapiše da je prošao ili se generira uzbuna.

5.3.2. Dekoder paketa

Dekoder paketa prikuplja pakete s raznih mrežnih sučelja i priprema ih za slanje u predprocesor ili u sustav za detekciju. Sučelja sa kojih se paketi prikupljaju su: ethernet, SLIP (engl. Serial Line Internet Protocol), PPP (engl. Point-to-Point Protocol) itd.

Internet Dekoder

paketa

Predprocesor Sustav za zapisivanje i uzbunjivanje

Izlazni moduli

Sustav za detekciju napada

Paket se odbacuje

Uzbuna ili zapis u datoteku

41

5.3.3. Predprocesori

Predprocesori su komponente ili dodaci koji se mogu koristiti u Snortu kako bi prilagodili ili modificirali pakete prije nego što sustav za detekciju odluči smatra li se paket prijetnjom. Neki predprocesori obavljaju djelomično i detekciju tako što traže anomalije u zaglavljima paketa i generiraju uzbunu ukoliko pronañu neku anomaliju. Predprocesori su važan dio cijelog sustava jer oni pripremaju pakete koji će se usporeñivati s pravilima u sustavu za detekciju.

Osim toga predprocesori mogu biti korišteni za defragmentaciju paketa. Kada velika količina podataka prolazi mrežom paketi se obično fragmentiraju. Npr. izvorna maksimalna dužina paketa na ethernet mreži je obično 1500 okteta. Ova vrijednost kontrolira se od strane MTU (engl. Maximum Transfer Unit) vrijednosti mrežnog sučelja. Ukoliko se pošalju podaci čija veličina je veća od 1500 okteta, oni će se podijeliti u više paketa čija će veličina biti manja ili jednaka od 1500. Mrežni dio koji prima pakete sposoban je sastaviti originalne podatke. Kako bi sustav za detekciju napada primijenio pravila nekog potpisa on takoñer mora sastaviti fragmentirane podatke. Tako jedan dio potpisa može biti u jednom paketu, a drugi u drugom. Radi ispravnog detektiranja potpisa ti paketi moraju biti spojeni. Napadači obično koriste fragmentaciju kako bi izbjegli neke sustave za detekciju.

Predprocesori služe kao zaštita od gornjih anomalija. U Snortu predprocesori mogu defragmentirati pakete, dekodirati HTTP URI (engl. Uniform Resource Identifier), sastavljati TCP tokove podataka itd.

5.3.4. Sustav za detekciju napada

Sustav za detekciju najvažniji je dio Snorta. Njegova je odgovornost detektirati prisutnost napada u paketu. Sustav za detekciju koristi ulančana pravila kao interne strukture podataka koja se primjenjuju na sve pakete. Ako paket odgovara nekom pravilu, tada se obavlja odgovarajuća akcija, npr. paket se odbacuje. Druge akcije koje se mogu poduzeti su zapisivanje podataka o paketu ili generiranje uzbune.

Ovaj sustav je najzahtjevniji dio Snorta. Vrijeme obrade paketa ovisi o vrsti paketa, jačini računala i broju pravila koja se primjenjuju. Ako je mrežni promet prevelik Snort može ispustiti neke pakete ili usporiti odziv sustava.

Sustav za detekciju radi drugačije u raznim verzijama Snorta. U verziji 1.x sustav za detekciju prestao je procesuirati paket kada je prvo pravilo odgovaralo tom paketu. Karakteristika takvog načina rada je veća brzina procesuiranja jer nije potrebno vršiti provjeru ostalih pravila. Meñutim, problem je što se ne može odrediti točna ozbiljnost napada jer neka pravila mogu za isti paket postaviti manju ozbiljnost, a isto tako i veću. Kako bi bili potpuno sigurni u ozbiljnost napada ipak je potrebno provjeriti sva pravila. U verziji 2.x sustav za detekciju je napisan u potpunosti iznova tako da je značajno brži od onog u verziji 1.x, a isto tako provjerava sva pravila na svakom paketu.

5.3.5. Sustavi za zapisivanje i uzbune

Ovisno o tome što sustav za detekciju pronañe unutar nekog paketa, mogu se zapisati podaci o tom paketu odnosno napadu ili se može generirati uzbuna.

42

5.3.6. Izlazni moduli

Izlazni moduli ili dodaci mogu obavljati razne operacije o tome kako želimo spremiti izlaz koji je generiran sustavom za zapisivanje i uzbune. U osnovi ovi moduli kontroliraju tip izlaza iz prethodnog sustava.

Ovisno o konfiguraciji, izlazni moduli mogu:

• zapisati izlaz u neku datoteku,

• poslati poruku u sustav za zapisivanje operacijskog sustava,

• zapisati u bazu podataka kao što je MySQL ili Oracle,

• generirati XML izlaz te

• modificirati konfiguraciju usmjernika i sigurnosne stijene.

Slika 5.6. Dnevnik napada

43

6. Prakti čni rad

Da bi se ispitala njegova učinkovitost, sustav za prevenciju i detekciju napada podvrgnut je ispitu sprječavanja napada na stvarne propuste u operacijskim sustavima i korisničkim programima. Kako je operacijski sustav Windows najrašireniji tako i postoji najviše dokumentiranih propusta upravo za taj OS i mnoge programe napisane za tu platformu. Zbog te činjenice ispitani su napadi isključivo na ovaj operacijski sustav, točnije na Windows XP sa SP1 (engl. service pack).

Za ispitivanje napada korištena je baza propusta sa Interneta. Postoje mnoge web stranice koje se bave ovom tematikom, a jedna od poznatijih je milw0rm na web adresi http://www.milw0rm.com/. Na ovoj stranici svakodnevno se objavljuju novo pronañeni propusti (engl. 0-day exploits). Ovakve stranice su korisne i za sustave za prevenciju napada, jer kako se baza propusta obnavlja svakodnevno tako je moguće i uspješno se braniti od 0-day propusta. Za potrebe ispitivanja sustava za prevenciju napada odabrano je šest programa razne namjene te jedan propust u operacijskom sustavu Windows XP SP1.

Ispitna okolina sastavljena je od virtualnog računala na koje se vršio napad, virtualnog računala sa instaliranom distribucijom IPCop, Proventie te računala sa kojeg se napadalo. Kako bi se ispitali propusti Windows platforme, na napadano računalo instaliran je operacijski sustav Windows XP SP1. Izmeñu virtualnog računala i Interneta postavljen je IPS ureñaj. U slučaju Proventie ona je jednim sučeljem bila fizički spojena na Internet, a drugim na virtualno računalo. IPCop se instalirao na virtualno računalo te se ispitivanje napada izvršilo sa računala koje je bilo spojeno na vanjsko (RED) sučelje IPCop-a.

U prvoj fazi napadi su se ispitivali bez prisutnosti IPS-a. Svaki napad je u slučaju uspješnog izvršenja pokrenuo strojni kod na napadnutom računalu koji je ili otvorio pristup za spajanje na konzolu ili pokrenuo aplikaciju, točnije Windows Calculator.

U drugoj fazi izmeñu računala koje napada i napadnutog računala postavio se sustav za prevenciju, odnosno detekciju, napada. Napadi su se izvršili na isti način kao i u prvoj fazi.

44

6.1. Aplikacija za ispitivanje napada

Napadi koji su odabrani za ispitivanje pronañeni su u raznim programskim jezicima. Kako bi ispitivanje bilo jednostavnije izrañena je jedinstvena aplikacija koja ih objedinjuje. Aplikacija je razvijena u objektno orijentiranom programskom jeziku C# u razvojnom alatu Microsoft Visual Studio .NET 2003. Aplikacija svaki napad predstavlja kao zasebnu klasu što omogućuje lako dodavanje novih napada, a i kod je puno razumljiviji i prirodniji.

Slika 6.1. Aplikacija za ispitivanje napada

Kako bi se napad pokrenuo dovoljno je upisati adresu računala koje želimo napasti, zatim odabrati napad i kliknuti na “Kreni“. U tekstualnom prozoru prikazat će se podaci o napadu i propustu koji se iskorištava. U istom prozoru bit će popraćen proces napada porukama koje opisuju što se trenutno dogaña. Zadnji korak u napadu je pokretanje programa PuTTY kako bi se spojili na pristup koji je napad otvorio na napadnutom računalu i preko kojeg se pristupa konzoli, odnosno Windows Command Prompt-u.

6.1.1. Proxy poslužitelj

3Proxy je mali i besplatni proxy poslužitelj otvorenog koda koji podržava više platformi (Windows i Unix). Uključuje HTTP proxy sa HTTPS i FTP podrškom. Isto tako uključuje podršku za protokole SOCKS v4, SOCKS v4.5, SOCKS v5, POP3, FTP i DNS.

U verziji nižoj od 0.5.3 otkriven je propust prelijevanja meñuspremnika na stogu. Propust se može iskoristiti spajanjem na 3Proxy program preko pristupa 3128.

45

Propust je iskorišten tako što se nakon uspješnog napada pokrenuo strojni kod koji otvara pristup za spajanje na konzolu.

6.1.2. SSH poslužitelj

FreeSSHd je besplatni SSH poslužitelj za Windows operacijski sustav. Pažljivo oblikovanim ulaznim nizom moguće je izvršiti napad prelijevanjem meñuspremnika na stogu.

6.1.3. HTTP poslužitelj

MiniShare je program za razmjenu podataka koji se instalira kao web poslužitelj i prima zahtjeve na pristupu 80. U verziji aplikacije <= 1.4.1. prilikom izvršavanja GET naredbe otkriven je propust provjeravanja granica meñuspremnika. Taj propust može se uspješno iskoristiti u svrhe izvršavanja napadačevog koda na žrtvinom računalu.

U aplikaciji za ispitivanje napada ovaj se propust iskoristio za otvaranje pristupa preko kojeg je moguće doći do ljuske s administracijskim ovlastima.

6.1.4. TFTP poslužitelj

TFTP 2000 je TFTP poslužitelj za Windows operacijski sustav. Pokreće se kao servis i očekuje nove veze na UDP pristupu 69.

U verziji 1.0.0.1 i ranijim otkriven je propust prelijevanja meñuspremnika.

Postoji propust prilikom obrañivanja zahtjeva RRQ i WRQ. Naime propust leži u tome što se u tim zahtjevima ne provjerava duljina imena datoteka pa je uz dovoljno dugo ime moguće ubaciti vlastiti strojni kod.

U aplikaciji za ispitivanje napada ovaj propust je iskorišten tako da se oblikovala naredba koja vrši prelijevanje meñuspremnika na stogu i ubacuje kod koji otvara pristup za spajanje na konzolu.

6.1.5. FTP poslužitelj

WarFTP je aplikacija za pružanje usluga FTP poslužitelja. U verziji 1.6x otkriven je propust koji prilikom postupka autorizacije na poslužitelj uzrokuje prelijevanje meñuspremnika na stogu. Pokazale su se ranjivima FTP naredbe USER i PASS.

U aplikaciji za ispitivanje napada ovaj propust iskorišten je tako što se oblikovala naredba koja vrši prelijevanje meñuspremnika na stogu i ubacuje kod koji pokreće aplikaciju Windows Calculator.

6.1.6. SMTP i POP3 poslužitelj

Ova aplikacija omogućuje rad sa Yahoo! Mail uslugom tako što emulira POP3 i SMTP protokole koji inače nisu dostupni direktno na Yahoo! Mail servisu. U verziji 0.6 otkriveni su propusti koji omogućuju napade prelijevanjem meñuspremnika. Oba su se protokola (SMTP i

46

POP3) pokazala ranjivima. Slanjem zahtjeva na SMTP duljeg od 504 okteta prepisuje se ESP (kazaljka stoga) i omogućuje prelijevanje meñuspremnika na stogu.

U aplikaciji za ispitivanje napada ovaj je propust iskorišten da bi se pokrenuo pristup preko kojeg je moguće doći do konzole.

6.1.7. Operacijski sustav

Jedan od poznatijih napada prelijevanjem meñuspremnika je onaj na RPC (engl. Remote Procedure Call) servis Windows operacijskog sustava. Na RPC servis moguće je spojiti se preko pristupa 135. Otkriven je propust ne provjeravanja granica u jednoj od komponenti servisa, točnije u DCOM (engl. Distributed Component Object Model) dijelu u metodi “CoGetInstanceFromFile“. Naime, ako se dotičnoj metodi proslijedi parametar odnosno ime datoteke koje je relativno dugo, doći će do prelijevanja meñuspremnika te napadač može pomoću pažljivo kreiranog paketa izvršiti vlastiti strojni kod.

Najpoznatiji zloćudni program koji je iskoristio ovaj propust je svakako crv naziva “W32.Blaster.Worm“. Ovaj crv je otkriven u kolovozu 2003. godine. Zarazio je mnoga računala, jer u to vrijeme širokopojasni Internet nije bio toliko raširen i mnoga računala su bila direktno izložena bez zaštite sigurnosne stijene. Kako je RPC bio izvorno uključen, crv nije imao puno problema sa spajanjem na RPC pristup 135. Cilj ovog crva bio je DDoS (engl. Distributed Denial of Service) napad na windowsupdate.com domenu, a širio se sa zaraženih računala tako što je nasumično generirao IP adrese. Zbog velike raširenosti Windows operacijskog sustava imao je dobre šanse za pronalazak sljedeće žrtve.

U aplikaciji za ispitivanje napada ovaj propust je iskorišten kako bi se otvorio pristup preko kojeg je moguće, uz pomoć programa PuTTY, spojiti se na konzolu.

6.2. Obrana od napada

Prilikom ispitivanja napada bez prisutnosti ureñaja za prevenciju i detekciju napada dokazano je kako je svaki napad moguće uspješno izvršiti. Nakon spajanja oba ispitna ureñaja dobiveni su zadovoljavajući, ali ne i jednaki rezultati čiji su detalji izneseni u sljedeća dva poglavlja.

6.2.1. Proventia

Ovaj IPS ureñaj pokazao je, prema očekivanjima, jako dobre rezultate u području prevencije mrežnih napada. Naime svih sedam napada ureñaj je ispravno prepoznao i zaustavio. Slijede izvadci iz dnevnika Proventie za svaki od napada.

47

3Proxy

Računalo s IP adresom 161.53.65.184 (TCP pristup 1390) izvršilo je napad na računalo s IP adresom 161.53.65.183 (TCP pristup 3128). Iz slike 6.2. može se zaključiti kako se radi o uspješnom blokiranju napada koje je slanjem dugačkog URL zahtjeva pokušalo uzrokovati prelijevanje meñuspremnika na ciljanom računalu.

Slika 6.2. Napad na 3Proxy (Proventia)

freeSSHd

Računalo s IP adresom 161.53.65.184 (TCP pristup 1393) izvršilo je napad na računalo s IP adresom 161.53.65.183 (TCP pristup 22). Podsustav IPM (engl. Intrusion Prevention Module) Proventie uspješno je prepoznao i blokirao ovaj napad.

Slika 6.3. Napad na freeSSHd (Proventia)

MiniShare

Računalo s IP adresom 161.53.65.184 (TCP pristup 1395) izvršilo je napad na računalo s IP adresom 161.53.65.183 (TCP pristup 80). Iz zapisa na slici 6.4. može se zaključiti kako se radi o blokiranju napada koje je slanjem dugačkog URL zahtjeva pokušalo uzrokovati prelijevanje meñuspremnika na ciljanom računalu.

Slika 6.4. Napad na MiniShare (Proventia)

48

TFTP 2000

Računalo s IP adresom 161.53.65.184 (UDP pristup 1397) izvršilo je napad na računalo s IP adresom 161.53.65.183 (UDP pristup 69). Proventia je uspješno blokirala napad koji je slanjem dugačkog imena datoteke pokušao uzrokovati prelijevanje meñuspremnika na napadnutom računalu.

Slika 6.5. Napad na TFTP 2000 (Proventia)

WarFTP

Ovaj napad zabilježen je prilikom prosljeñivanja paketa s javnog sučelja Proventie s IP adrese 161.53.65.183 (TCP pristup 1400) na privatno sučelje napadnutog računala s IP adresom 192.168.123.11 (TCP pristup 21). Iz zapisa na slici 6.6. može se zaključiti kako se radi o blokiranju napada koje je slanjem dugačkog FTP korisničkog podatka pokušalo uzrokovati prelijevanje meñuspremnika na ciljanom računalu.

Slika 6.6. Napad na WarFTP (Proventia)

YahooPOPs

Računalo s IP adresom 161.53.65.184 (TCP pristup 1403) izvršilo je napad na računalo s IP adresom 161.53.65.183 (TCP pristup 8082). Na slici 6.7. može se zaključiti kako se radi o blokiranju napada koje je slanjem pažljivo oblikovane poruke pokušalo uzrokovati prelijevanje meñuspremnika na ciljanom računalu.

Slika 6.7. Napad na YahooPOPs (Proventia)

49

Windows RPC

Računalo s IP adresom 161.53.65.184 (TCP pristup 1401) izvršilo je napad na računalo s IP adresom 161.53.65.183 (TCP pristup 135). Iz zapisa slici 6.8. može se zaključiti kako se napad uspješno blokirao.

Slika 6.8. Napad na Windows RPC (Proventia)

6.2.2. IPCop

Za razliku od Proventie, IPCop je sustav za detekciju, ne i prevenciju napada. To je zato što je podsustav Snort automatski podešen da radi u takvom načinu rada. U Snortu postoji podrška za IPS način rada, ali ga IPCop još ne podržava. Isto tako pri pokušaju aktivacije tog načina rada Snort se pokazao nestabilnim i dosta složenim za podešavanje.

Napad se izvršio sa računala IP adrese 192.168.1.2 na IPCop računalo IP adrese 192.168.1.50 čija je sigurnosna stijena propuštala sav promet do ispitnog računala.

Slijede izvadci iz zapisnika IPCop-a:

3Proxy

Računalo s IP adresom 192.168.1.2 izvršilo je napad na računalo s IP adresom 192.168.1.50 (TCP pristup 3128). IPCop nije prepoznao napad koji je slanjem dugačkog URL zahtjeva uzrokovao prelijevanje meñuspremnika na ciljanom računalu i omogućio spajanje na konzolu preko pristupa 7979. Napadač se sa pristupa 2078 spojio na pristup 7979 napadnutog računala. Meñutim slika 6.9. prikazuje kako je IPCop uspješno prepoznao izvršenje naredbe “dir“ u konzoli.

Slika 6.9. Napad na 3Proxy (IPCop)

freeSSHd

Računalo s IP adresom 192.168.1.2 izvršilo je napad na računalo s IP adresom 192.168.1.50 (TCP pristup 22). IPCop i u ovom slučaju nije prepoznao napad koji je uzrokovao prelijevanje meñuspremnika na ciljanom računalu i omogućio spajanje na konzolu na pristupu 1977. Napadač se sa pristupa 2090 spojio na pristup 1977 napadnutog računala. Donja slika, kao i u prethodnom slučaju, prikazuje kako je IPCop uspješno prepoznao izvršenje naredbe “dir“ u konzoli.

50

Slika 6.10. Napad na freeSSHd (IPCop)

MiniShare

Računalo s IP adresom 192.168.1.2 (TCP pristup 2109) izvršilo je napad na računalo s IP adresom 192.168.1.50 (TCP pristup 80). Iz zapisa na slici 6.11. može se zaključiti kako je IPCop uspješno prepoznao ovaj napad.

Slika 6.11. Napad na MiniShare (IPCop)

TFTP 2000

Računalo s IP adresom 192.168.1.2 (UDP pristup 2114) izvršilo je napad na računalo s IP adresom 192.168.1.50 (UDP pristup 69). Slika 6.12. prikazuje kako je IPCop uspješno prepoznao napad koji je slanjem dugačkog TFTP zahtjeva uzrokovao prelijevanje meñuspremnika na napadnutom računalu.

Slika 6.12. Napad na TFTP 2000 (IPCop)

51

WarFTP

Računalo s IP adresom 192.168.1.2 (TCP pristup 2123) izvršilo je napad na računalo s IP adresom 192.168.1.50 (TCP pristup 21). Na slici 6.13. može se zaključiti kako je IPCop uspješno prepoznao ovaj napad koji je slanjem dugačkih FTP korisničkih podataka uzrokovao prelijevanje meñuspremnika na ciljanom računalu.

Slika 6.13. Napad na WarFTP (IPCop)

Windows RPC

Računalo s IP adresom 192.168.1.2 (TCP pristup 2125) izvršilo je napad na računalo s IP adresom 192.168.1.50 (TCP pristup 135). Slika 6.14. prikazuje kako je IPCop uspješno prepoznao ovaj napad.

Slika 6.14. Napad na Windows RPC (IPCop)

YahooPOPs

Računalo s IP adresom 192.168.1.2 izvršilo je napad na računalo s IP adresom 192.168.1.50 (TCP pristup 882). IPCop nije prepoznao napad koji je slanjem posebno oblikovane poruke uzrokovao prelijevanje meñuspremnika na ciljanom računalu i omogućio spajanje na konzolu na pristupu 101. Napadač se sa pristupa 2136 spojio na pristup 101 napadnutog računala. Donja slika prikazuje kako je IPCop uspješno prepoznao izvršenje naredbe “dir“ u konzoli na koju se napadač spojio.

Slika 6.15. Napad na YahooPOPs (IPCop)

52

6.2.3. Usporedba rezultata ispitivanja

Ukratko, rezultati ispitivanja pokazali su kako Proventia nudi bolju zaštitu od IPCop-a. Sažetak rezultata ispitivanja predočen je sljedećom tablicom:

Tablica 6.1. Usporedba rezultata ispitivanja

Program Verzija Proventia IPCop

3Proxy 0.5.3g napad spriječen napad nije detektiran

freeSSHd 1.0.9 napad spriječen napad nije detektiran

MiniShare 1.4.0 napad spriječen napad detektiran

TFTP 2000 1.0.0.1 napad spriječen napad detektiran

WarFTP 1.65 napad spriječen napad detektiran

Windows RPC Windows XP SP1 napad spriječen napad detektiran

YahooPOPs 0.6 napad spriječen napad nije detektiran

Iz priloženih rezultata može se jasno uočiti kao Proventia nudi bolje rješenje u zaštiti računala od mrežnih napada. Prva i najveća razlika je u tome što je Proventia IPS rješenje dok IPCop IDS.

Meñutim ukoliko i zanemarimo tu razliku i dalje Proventia pokazuje bolje rezultate jer je u najmanju ruku otkrila svih sedam napada, dok je IPCop uspio otkriti svega četiri. To ipak ne znači da je IPCop lošije rješenje, već ukazuje na to kako Proventia posjeduje bogatiju bazu potpisa mrežnih napada.

Sva tri napada koja IPCop nije otkrio ipak su otkrivena u trenutku kada je napadač iskoristio otvoreni pristup i u konzoli izvršio naredbu “dir“. Meñutim napadač je isto tako mogao ubaciti bilo kakav drugi strojni kod koji ne bi bio detektiran. Ova tri napada otkrivena su samo zato što IPCop odnosno podsustav Snort ima pravilo da na svakom sumnjivom pristupu provjerava da li promet koji prolazi je ili nije “dir“ naredba koja je specifična za Windows konzolu.

53

7. Zaklju čak

Demonstracijom nekih napada pokazano je kako računala bez dodatne zaštite teško mogu opstati na javnoj mreži kao što je Internet, a da ih netko pritom ne napadne ili zarazi nekim od štetnih programa. U današnje vrijeme napadi su sve sofisticiraniji stoga jedina nada obrane leži u sustavima koji su sposobni pratiti razvoj napada.

Ispitana su dva sustava za prevenciju i detekciju napada. Jedan komercijalan, a drugi besplatno rješenje otvorenog koda. Oba sustava podvrgnuta su istim napadima čija je meta bilo računalo zaštićeno tim sustavima.

Vidi se da je prednost ovakvih sustava na strani komercijalnih rješenja. Ta prednost leži u činjenici da komercijalna rješenja nude nešto veću i prije svega kvalitetniju podršku, što je za ovakve sustave od presudne važnosti.

Meñutim ne treba odbaciti ni besplatna rješenja otvorenog koda. IPCop se pokazao kao zanimljiva i napredna Linux distribucija koja nudi širok spektar mogućnosti. Može biti interesantan manjim poduzećima i krajnjim korisnicima koji žele povoljan i multifunkcionalni mrežni ureñaj za zaštitu, koji se može izvoditi i na starom PC sklopovlju. Podsustav IPCop-a na koji se fokusiralo u ovom radu bio je sustav za detekciju napada – Snort. To je kvalitetna programska podrška koja može konkurirati i komercijalnim rješenjima ukoliko se pretvori u stabilan sustav za prevenciju mrežnih napada i svakako ukoliko se proširi baza potpisa napada.

54

8. Literatura

[1] Northcutt, Stephen; Novak, Judy: Network Intrusion Detection, Third Edition, New Riders Publishing, 2002.

[2] Carter, Earl; Hogue, Jonathan: Intrusion Prevention Fundamentals, Cisco Press, 2006.

[3] Dempster, Barrie; Eaton-Lee, James: Configuring IPCop Firewalls: Closing Borders with Open Source, Packt Publishing, 2006.

[4] Caswell, Brian; Beale, Jay; Baker, Andrew: Snort Intrusion Detection and Prevention Toolkit, Syngress Publishing, 2007.

[5] Grupa autora: Proventia network Multi-Function Security User Guide, Internet Security Systems 2006.

[6] http://en.wikipedia.org/wiki/Denial-of-service, 18. prosinac 2007.

[7] http://www.learn-networking.com/security/how-to-prevent-denial-of-service-attacks.php, 18. prosinac 2007.

[8] http://en.wikipedia.org/wiki/Buffer_overflow, 15. studeni 2007.

[9] http://www.cisco.com/en/US/docs/security/asa/asa71/configuration/guide/protect.htm, 10. prosinac 2007.

[10] http://en.wikipedia.org/wiki/Spyware, 14. siječanj 2008.

[11] http://en.wikipedia.org/wiki/Adware, 14. siječanj 2008.