240 likes | 370 Views
IPS bei der GWDG (Beispiel: Tippingpoint). Andreas Ißleiber andreas.issleiber@gwdg.de. L2-Bridge. Monitor Port. IPS in der GWDG. Was ist ein IDS ? Intrusion Detection System ( IDS ) untersucht den Datenverkehr auf etwaige Angriffe und! Abnormalitäten (L2 bis L7)
E N D
IPS bei der GWDG (Beispiel: Tippingpoint) Andreas Ißleiber andreas.issleiber@gwdg.de
L2-Bridge Monitor Port IPS in der GWDG Was ist ein IDS ? • Intrusion Detection System (IDS) untersucht den Datenverkehr auf etwaige Angriffe und! Abnormalitäten (L2 bis L7) • Erkennung durch Signaturen, Verhalten, Last, Heuristik • IDS führen selbst keine Aktivitäten bei Attacken aus (bis auf Logging) • IDS können „Mithören“ oder Transparent sein (seltener) • Bei älteren IDS fehlen Unterscheidungs-kriterien bzgl. Relevanz der Attacken (was ist wichtig, was nicht) • Gruppierungen von Ereignissen sind wichtig • GWDG betreibt ein IDS System vonEnterasys (Dragon):- zu grobe Auswertung- Datenflut: zeitintensive Auswertung - keine Prävention/Aktion Internet Parallele Anbindung zum Router/Switch Transparent IDS Logging und Auswertung LAN
L2-Bridge IPS in der GWDG Was ist ein IPS ? • Traffic wird im Vergleich zum IDS bei Angriffen … Alarmiert, Reduziert, Blockiert, Source IP zeitweise geblockt (alles bidirektional ?!) • Aktion: ggf. Senden von TCP-„Reset“ an die Quelle • Transparenter Modus (inline mode), keine Änderungen der Daten • Erkennung in L2-L7 • Erkennung muß genau und schnell sein, sonst wirdlegaler Traffic blockiert (selbstgebautes DoS) • Hohe Bandbreite erforderlich (kein Engpass im Netz) Internet Logging und ggf. Auswertung Firewall „block“ beiAttacken IPS LAN
IPS in der GWDG IDS IPS vs. • + Einsatz mehrerer Sensoren im Netz- Überwachung des IDS durch Administrator erforderlich • (zu)viele Logging- ingformationen • + aktive Abwehr von Angriffen+ geringerer administrativer Aufwand • im inline mode: schnelle Erkennung und Reaktion erforderlich Hardware hoher Preis
IPS in der GWDG IPS/IDS Typen (Pro & Contra)hostbasierte IDS/IPS „HIPS“(Software auf Endgerät) + geringe Datenmenge + Systemzustand erkennbar, schädlicher Code + Bei „false positive“ nur eigenes System betroffen - ggf. auf OS-Ebene auszuhebeln, da Programm/Dienst - Verwaltung pro Host - eingeschränkte Sicht (nur host) netzbasierte IDS/IPS „NIPS“(Software o. Appliance zentral) + kann ganzes Segment überwachen/schützen + besserer Schutz bei (D)DoS Attacken + Überblick über gesamtes Netz (Gesamtbild ergibt erst eine Attacke) + sieht auch Attacken auf unbenutzte Adressen + zentrales Management - hohe Bandbreite erforderlich, Latenzen ?
IPS in der GWDG IPS System von Tippingpoint • Gerät: TippingPoint 2400 • Kombination Hard- & Softwarelösung • Signatur, Ereignis, verhaltensbasierte Erkennung • Kurzfristige automatische Signaturupdates • Verschiedene Eventkategorien (Critical ... Minor) • Feintuning der Events möglich Aktionen: Block, Inform, Reduce … • Ausgereiftes Logging & Reporting (Flatfile (CSV), XML, PDF, HTML, Grafik) • Bandbreite 2-2.4 GBit/s (transparent), 4 Doppelports (GBit/s)
IPS in der GWDG IPS System von Tippingpoint (3COM) • TippingPoint 2400, 2 Wochen im Test bei der GWDG am - WIN Zugang (1GBit/s)- WLAN Übergang (100MBit/s) Testaufbau bei der GWDG 100MBit/s 100MBit/s Internet PC für Penetrationstest (Angreifer) WLAN 1GBit/s SMS Client Tippingpoint SMS SMS: Security Manager SystemDell Server mit RedHat Logging, Auswertung, Tracking, db GÖNET Honeypot, bzw. unsicheres System (Opfer)
IPS in der GWDG Penetrationstest Opfer: PC mit debian (Knoppix) honeyd Angreifer: Laptop mit Windows XP und whoppix(whax) unter VMWARE, sowie Nessus PC (Debian: Knoppix „iWhax“,Nessus, nmap) 192.168.10.100 100MBit/s 100MBit/s 192.168.1.1 … 192.168.1.30 Honeypot, Knoppix (mit Honeyd) Bzw. Windows 98 in VMWARE
IPS in der GWDG Penetration: kleiner Ausschnitt der Ergebnisse IPS Logfile Attacke: nmap Nikto web scan nmap nmap nessus nessus Ping mit „Inhalt“ Stacheldraht Event ID
IPS in der GWDG Penetrationstest Fazit: • Die meisten provozierten Attacken wurden erkannt • Nicht erkannt wurden: - SQL Injection - SSH Attacken (User/Password-Dictionary Attacks). (Ansich ist ein SSH mit mehr als 5 Usernamen pro Quell- und Zieladresse pro Sekunde eine Attacke)
IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports • No. 1 (immer noch) SQL-Slammer > 8E6 Events/Woche ( single UDP packet) • Einige Attacken konnten nicht erkannt werden, da hinter dem IPS ACLs auf dem Router existierten (Kommunikation hinter IPS wurde geblockt) • Viele interne Systeme, die externe Ziele „angriffen“ wurden erkannt (Übereinstimmung mit unseren bisherigen Scripts)
IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports • Viele Spyware Verbindungen von Innen nach Aussen wurden erkannt und blockiert • Top Ten Attacks während der 10-tägigen Testphase (ohne Slammer) Ohne SQL Slammer Event ID # Hits
IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports • Alternativ auch Syslog in diversen Formaten • Oder Zugriff auf MySQL db des SMS 2005-09-29 10:11:24 Auth.Critical 10.76.10.40 8;4;"00000002-0002-0002-0002-000000001456";"00000001-0001-0001-0001-000000001456";"1456: MS-SQL: Slammer-Sapphire Worm";1456;"udp";"220.191.1.165";1125;"134.76.34.76";1434;2;3;3;"IPS";33625931;112798149 2005-09-29 10:11:24 Auth.Notice 10.76.10.40 8;1;"5e959504-28f9-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001-000000003746";"3746: Spyware: CrackSpider Information Transfer";3746;"http";"134.76.76.202";1700;"213.244.183.210";80;1;3;3;"IPS";67570433;1127981499386 2005-09-29 10:11:24 Auth.Notice 10.76.10.40 8;1;"6287b1d0-2119-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001-000000003298";"3298: Spyware: Click Spring/PurityScan Communication";3298;"http";"134.76.3.9";1099;"63.251.135.15";80;1;3;1;"IPS";67570433;1127981501686 2005-09-29 10:11:34 Auth.Notice 10.76.10.40 8;1;"5e951fd0-28f9-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001-000000002965";"2965: Spyware: SaveNow/WhenU Program Download";2965;"http";"134.76.170.87";1056;"212.201.100.135";80;1;3;3;"IPS";67570433;1127981513069 2005-09-29 10:11:34 Auth.Critical 10.76.10.40 8;4;"00000002-0002-0002-0002-000000002289";"00000001-0001-0001-0001-000000002289";"2289: MS-RPC: DCOM ISystemActivator Overflow";2289;"tcp";"134.76.3.62";1388;"134.76.26.232";135;1;3;1;"IPS";16907851;1127981 DCOM I SystemActivator Overflow";2289;"tcp";"134.76.3.62";1388;"134.76.26.232
IPS in der GWDG Falscher Alarm (False Positive) • „Schwer zu beurteilen“, während derTestphase gab es keinerlei Beschwerden bzgl. Störungen • Tests innerhalb der GWDG bestätigten keine „falsch positiv“ Erkennungen (Dennoch werden diese vermutlich existieren) • Im Tippingpointsystem können(sollten) die Events angepasst werden (block, inform, reduce …) um Fehlalarme und etwaige Blockaden zu vermeiden (Vorgaben sind aber i.d.R. sinnvoll)
IPS in der GWDG Ergebnisse der Testphase: TrafficShaping • Tippingpoint erlaubt Bandbreitenbegrenzung für beliebige Events (und Event-Gruppen) • In der Testphase haben wir alle Tauschbörsen-Events zusammengefasst und „begrenzt“ (20 MBit/s) • Auch hier gab es keine Benutzerbeschwerden (…es ist sicherlich schwer, sich wegen schlecht funktionierender Tauschbörsen zu beschweren) Events bei Überschreitung d.Limits MBits/s Σ alle Tauschbörsen
IPS in der GWDG … LiveDemo
IPS in der GWDG Fazit: • Ein IDS/IPS ersetzt keine! Firewall oder Virenscanner • Sinnvoller Schutz In Kombination mit Firewall, Viren & Spyware Scanner, ProxyServer • Bildet zweite Verteidigungslinie hinter einer Firewall(Traffic, der nicht zugelassen wird, muß nicht geprüft werden) • Durch Verhaltens- und Anomalieerkennung zusätzlicher Schutz innerhalb des Netzwerkes (kann eine Firewall i.d.R. nicht lösen) • Einsatz mehrerer Sensoren (geografisch verteilt) zur Erkennung von Angriffsmustern möglich (i.d.R. bei IDS) • IPS auch in Kombination mit IDS einsetzbar !? • NID(P)S & HID(P)S in Kombination sinnvoll nutzbar !?(unterschiedliche Hersteller) • I.d.R. kein Schutz bei verschlüsselten Verbindungen
IPS in der GWDG Fazit: • GWDG hatte verschiedene System getestetbzw. betrachtet McAfee (Intrushield), CISCO (Mars1), Fortigate (Fortinet), Snort • Aufgrund des Vergleiches war Tippingpoint die „Wahl“ • GWDG hat System Tippingpoint 2400 gekauft • System wird Internetzugang sowie weitere interne Netzbereich absichern • Ersatz der „selbstgeschriebenen“ Scripts zur Erkennung abnormalen Verhaltens • Spürbarer Mehrgewinn an Sicherheit in Kombination mit weiteren Verfahren 1) Monitoring, Analysis and Response System
? Vielen Dank! S C S I O C Y S T E M S S C S I C O Y S T E M S … Fragen CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER und Diskussionen!
IPS in der GWDG Url´s Tippingpoint: http://www.tippingpoint.com/ Snort: http://www.snort.org/ Whoppix: http://www.iwhax.net