1 / 24

IPS bei der GWDG (Beispiel: Tippingpoint)

IPS bei der GWDG (Beispiel: Tippingpoint). Andreas Ißleiber andreas.issleiber@gwdg.de. L2-Bridge. Monitor Port. IPS in der GWDG. Was ist ein IDS ? Intrusion Detection System ( IDS ) untersucht den Datenverkehr auf etwaige Angriffe und! Abnormalitäten (L2 bis L7)

cally-barton
Download Presentation

IPS bei der GWDG (Beispiel: Tippingpoint)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IPS bei der GWDG (Beispiel: Tippingpoint) Andreas Ißleiber andreas.issleiber@gwdg.de

  2. L2-Bridge Monitor Port IPS in der GWDG Was ist ein IDS ? • Intrusion Detection System (IDS) untersucht den Datenverkehr auf etwaige Angriffe und! Abnormalitäten (L2 bis L7) • Erkennung durch Signaturen, Verhalten, Last, Heuristik • IDS führen selbst keine Aktivitäten bei Attacken aus (bis auf Logging) • IDS können „Mithören“ oder Transparent sein (seltener) • Bei älteren IDS fehlen Unterscheidungs-kriterien bzgl. Relevanz der Attacken (was ist wichtig, was nicht) • Gruppierungen von Ereignissen sind wichtig • GWDG betreibt ein IDS System vonEnterasys (Dragon):- zu grobe Auswertung- Datenflut: zeitintensive Auswertung - keine Prävention/Aktion Internet Parallele Anbindung zum Router/Switch Transparent IDS Logging und Auswertung LAN

  3. L2-Bridge IPS in der GWDG Was ist ein IPS ? • Traffic wird im Vergleich zum IDS bei Angriffen … Alarmiert, Reduziert, Blockiert, Source IP zeitweise geblockt (alles bidirektional ?!) • Aktion: ggf. Senden von TCP-„Reset“ an die Quelle • Transparenter Modus (inline mode), keine Änderungen der Daten • Erkennung in L2-L7 • Erkennung muß genau und schnell sein, sonst wirdlegaler Traffic blockiert (selbstgebautes DoS) • Hohe Bandbreite erforderlich (kein Engpass im Netz) Internet Logging und ggf. Auswertung Firewall „block“ beiAttacken IPS LAN

  4. IPS in der GWDG IDS IPS vs. • + Einsatz mehrerer Sensoren im Netz- Überwachung des IDS durch Administrator erforderlich • (zu)viele Logging- ingformationen • + aktive Abwehr von Angriffen+ geringerer administrativer Aufwand • im inline mode: schnelle Erkennung und Reaktion erforderlich Hardware  hoher Preis

  5. IPS in der GWDG IPS/IDS Typen (Pro & Contra)hostbasierte IDS/IPS „HIPS“(Software auf Endgerät) + geringe Datenmenge + Systemzustand erkennbar, schädlicher Code + Bei „false positive“ nur eigenes System betroffen - ggf. auf OS-Ebene auszuhebeln, da Programm/Dienst - Verwaltung pro Host - eingeschränkte Sicht (nur host) netzbasierte IDS/IPS „NIPS“(Software o. Appliance zentral) + kann ganzes Segment überwachen/schützen + besserer Schutz bei (D)DoS Attacken + Überblick über gesamtes Netz (Gesamtbild ergibt erst eine Attacke) + sieht auch Attacken auf unbenutzte Adressen + zentrales Management - hohe Bandbreite erforderlich, Latenzen ?

  6. IPS in der GWDG IPS System von Tippingpoint • Gerät: TippingPoint 2400 • Kombination Hard- & Softwarelösung • Signatur, Ereignis, verhaltensbasierte Erkennung • Kurzfristige automatische Signaturupdates • Verschiedene Eventkategorien (Critical ... Minor) • Feintuning der Events möglich  Aktionen: Block, Inform, Reduce … • Ausgereiftes Logging & Reporting (Flatfile (CSV), XML, PDF, HTML, Grafik) • Bandbreite 2-2.4 GBit/s (transparent), 4 Doppelports (GBit/s)

  7. IPS in der GWDG IPS System von Tippingpoint (3COM) • TippingPoint 2400, 2 Wochen im Test bei der GWDG am - WIN Zugang (1GBit/s)- WLAN Übergang (100MBit/s) Testaufbau bei der GWDG 100MBit/s 100MBit/s Internet PC für Penetrationstest (Angreifer) WLAN 1GBit/s SMS Client Tippingpoint SMS SMS: Security Manager SystemDell Server mit RedHat  Logging, Auswertung, Tracking, db GÖNET Honeypot, bzw. unsicheres System (Opfer)

  8. IPS in der GWDG Penetrationstest Opfer: PC mit debian (Knoppix) honeyd Angreifer: Laptop mit Windows XP und whoppix(whax) unter VMWARE, sowie Nessus PC (Debian: Knoppix „iWhax“,Nessus, nmap) 192.168.10.100 100MBit/s 100MBit/s 192.168.1.1 … 192.168.1.30 Honeypot, Knoppix (mit Honeyd) Bzw. Windows 98 in VMWARE

  9. IPS in der GWDG Penetration: kleiner Ausschnitt der Ergebnisse IPS Logfile Attacke: nmap Nikto web scan nmap nmap nessus nessus Ping mit „Inhalt“ Stacheldraht Event ID

  10. IPS in der GWDG Penetrationstest Fazit: • Die meisten provozierten Attacken wurden erkannt • Nicht erkannt wurden: - SQL Injection - SSH Attacken (User/Password-Dictionary Attacks). (Ansich ist ein SSH mit mehr als 5 Usernamen pro Quell- und Zieladresse pro Sekunde eine Attacke)

  11. IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports • No. 1 (immer noch) SQL-Slammer > 8E6 Events/Woche ( single UDP packet) • Einige Attacken konnten nicht erkannt werden, da hinter dem IPS ACLs auf dem Router existierten (Kommunikation hinter IPS wurde geblockt) • Viele interne Systeme, die externe Ziele „angriffen“ wurden erkannt (Übereinstimmung mit unseren bisherigen Scripts)

  12. IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports • Viele Spyware Verbindungen von Innen nach Aussen wurden erkannt und blockiert • Top Ten Attacks während der 10-tägigen Testphase (ohne Slammer) Ohne SQL Slammer Event ID # Hits

  13. IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports • Alternativ auch Syslog in diversen Formaten • Oder Zugriff auf MySQL db des SMS 2005-09-29 10:11:24 Auth.Critical 10.76.10.40 8;4;"00000002-0002-0002-0002-000000001456";"00000001-0001-0001-0001-000000001456";"1456: MS-SQL: Slammer-Sapphire Worm";1456;"udp";"220.191.1.165";1125;"134.76.34.76";1434;2;3;3;"IPS";33625931;112798149 2005-09-29 10:11:24 Auth.Notice 10.76.10.40 8;1;"5e959504-28f9-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001-000000003746";"3746: Spyware: CrackSpider Information Transfer";3746;"http";"134.76.76.202";1700;"213.244.183.210";80;1;3;3;"IPS";67570433;1127981499386 2005-09-29 10:11:24 Auth.Notice 10.76.10.40 8;1;"6287b1d0-2119-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001-000000003298";"3298: Spyware: Click Spring/PurityScan Communication";3298;"http";"134.76.3.9";1099;"63.251.135.15";80;1;3;1;"IPS";67570433;1127981501686 2005-09-29 10:11:34 Auth.Notice 10.76.10.40 8;1;"5e951fd0-28f9-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001-000000002965";"2965: Spyware: SaveNow/WhenU Program Download";2965;"http";"134.76.170.87";1056;"212.201.100.135";80;1;3;3;"IPS";67570433;1127981513069 2005-09-29 10:11:34 Auth.Critical 10.76.10.40 8;4;"00000002-0002-0002-0002-000000002289";"00000001-0001-0001-0001-000000002289";"2289: MS-RPC: DCOM ISystemActivator Overflow";2289;"tcp";"134.76.3.62";1388;"134.76.26.232";135;1;3;1;"IPS";16907851;1127981 DCOM I SystemActivator Overflow";2289;"tcp";"134.76.3.62";1388;"134.76.26.232

  14. IPS in der GWDG Falscher Alarm (False Positive) • „Schwer zu beurteilen“, während derTestphase gab es keinerlei Beschwerden bzgl. Störungen • Tests innerhalb der GWDG bestätigten keine „falsch positiv“ Erkennungen (Dennoch werden diese vermutlich existieren) • Im Tippingpointsystem können(sollten) die Events angepasst werden (block, inform, reduce …) um Fehlalarme und etwaige Blockaden zu vermeiden (Vorgaben sind aber i.d.R. sinnvoll)

  15. IPS in der GWDG Ergebnisse der Testphase: TrafficShaping • Tippingpoint erlaubt Bandbreitenbegrenzung für beliebige Events (und Event-Gruppen) • In der Testphase haben wir alle Tauschbörsen-Events zusammengefasst und „begrenzt“ (20 MBit/s) • Auch hier gab es keine Benutzerbeschwerden (…es ist sicherlich schwer, sich wegen schlecht funktionierender Tauschbörsen zu beschweren) Events bei Überschreitung d.Limits MBits/s Σ alle Tauschbörsen

  16. IPS in der GWDG Tippingpoint Screenshots  Dashboard

  17. IPS in der GWDG Tippingpoint Screenshots

  18. IPS in der GWDG Tippingpoint Screenshots

  19. IPS in der GWDG Tippingpoint Screenshots

  20. IPS in der GWDG … LiveDemo

  21. IPS in der GWDG Fazit: • Ein IDS/IPS ersetzt keine! Firewall oder Virenscanner • Sinnvoller Schutz In Kombination mit Firewall, Viren & Spyware Scanner, ProxyServer • Bildet zweite Verteidigungslinie hinter einer Firewall(Traffic, der nicht zugelassen wird, muß nicht geprüft werden) • Durch Verhaltens- und Anomalieerkennung  zusätzlicher Schutz innerhalb des Netzwerkes (kann eine Firewall i.d.R. nicht lösen) • Einsatz mehrerer Sensoren (geografisch verteilt) zur Erkennung von Angriffsmustern möglich (i.d.R. bei IDS) • IPS auch in Kombination mit IDS einsetzbar !? • NID(P)S & HID(P)S in Kombination sinnvoll nutzbar !?(unterschiedliche Hersteller) • I.d.R. kein Schutz bei verschlüsselten Verbindungen

  22. IPS in der GWDG Fazit: • GWDG hatte verschiedene System getestetbzw. betrachtet  McAfee (Intrushield), CISCO (Mars1), Fortigate (Fortinet), Snort • Aufgrund des Vergleiches war Tippingpoint die „Wahl“ • GWDG hat System Tippingpoint 2400 gekauft • System wird Internetzugang sowie weitere interne Netzbereich absichern • Ersatz der „selbstgeschriebenen“ Scripts zur Erkennung abnormalen Verhaltens • Spürbarer Mehrgewinn an Sicherheit in Kombination mit weiteren Verfahren 1) Monitoring, Analysis and Response System

  23. ? Vielen Dank! S C S I O C Y S T E M S S C S I C O Y S T E M S … Fragen CISCO S YSTEMS LOWER UPPER NORMAL POWER POWER und Diskussionen!

  24. IPS in der GWDG Url´s Tippingpoint: http://www.tippingpoint.com/ Snort: http://www.snort.org/ Whoppix: http://www.iwhax.net

More Related