Intrusion Detection System a CSIRT.CZ

31. srpna 2015

Systém pro detekci neoprávněného přístupu do systému IDS (Intrusion Detection System) slouží k zachycovaní informací o strojích, ze kterých byly zaznamenány útoky. Tým CSIRT.CZ jeden takový systém provozuje ve spolupráci se sdružením CESNET.

Ve spolupráci se sdružením CESNET provozujeme systém detekující podezřelé chování systémů připojených do sítě Internet. Systém pro detekci neoprávněného přístupu do systému IDS (Intrusion Detection System) slouží k zachycovaní informací o strojích, ze kterých byly zaznamenány pokusy o připojení. IDS pracuje na platformě LaBrea, která je distribuována pod licencí GPL. LaBrea využívá adresových bloků, které v Internetu dosud nebyly použity, což znamená, že na nich neexistovaly žádné uživatelské stroje. K takovým adresám nemá 'zdravý' stroj důvod se připojit. Systém předstírá, že na těchto adresách běží funkční zdroje, a reaguje na pokusy o připojení přes TCP a ICMP echo (ping). IDS se snaží, aby komunikace trvala co nejdéle a útočníci nebo nakažené stroje neškodili jinde. Tento typ honeypotů má nízkou míru interakce, a proto nedokážeme přesně detekovat, co může být důvodem připojení. Může se jednat o počítač nakažený nějakým malwarem, ale také o překlep uživatele při zadávání IP adresy, například pro SSH připojení, či o důsledek realizace bezpečnostního výzkumu. Pokud si nejste vědomi, že by komunikace popsaná v obdrženém hlášení z našich honeypotů byla vyvolána záměrnou, či neumýslnou interakcí uživatele, doporučujeme na počítači, ze kterého útok pocházel provést kontrolu integrity systému, včetně kontroly na přítomnost malware. Pokud pracujete na bezpečnostním výzkumu nebo si z jiných důvodu nepřejete dostávat tato hlášení, kontaktujte nás na abuse@csirt.cz. O pokusech o připojení z konkrétních IP adres informujeme zodpovědné administrátory, a to prostřednictvím e-mailové adresy odesilatele ids@csirt.cz.