Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Ähnliche Präsentationen


Präsentation zum Thema: "Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119"—  Präsentation transkript:

1 Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax: von Effizienter Einsatz von IPS in Netzen Andreas Ißleiber

2 2 Über uns… (Gesellschaft) GWDG, Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen GWDG ist eine gemeinsame Einrichtung des Landes Niedersachsen und der Max-Planck-Gesellschaft (GmbH), Gründung 1970, 65 Beschäftigte Doppelfunktion als…: Zentrales Hochschul-Rechenzentrum der Universität Göttingen mit Studierenden, Beschäftigten Rechen- und Kompetenzzentrum der Max-Planck Gesellschaft (Bundesweit) ca. 80 Institute Beschäftigte

3 3 Über uns… (Netzwerk) GWDG ist Netzwerkbetreiber für die Göttinger Wissenschaftsnetz (GÖNET), Class B Netz >= Nodes, User Internet access: 1GBit/s

4 4 Bisherige Schutzmechanismen Logfileauswertung der Router-Daten (Flows) Auswertung von abnormalem Traffic (Volumina) Erkennung virulenten Verhaltens (ARP-Requests) Alarm bei Nutzung subtiler, verdächtiger Ports (Diplomarbeit) IDS System (Enterrasys Dragon) Pro Contra -Eigenentwicklung, Anpassung an lokale Bedürfnisse -Hoher Entwicklungsaufwand -Ggf. Sicherheitslücken, keine schnelle Reaktion auf Angriffswellen möglich -Geringere Stabilität, hoher Wartungsaufwand

5 5 Anforderungen, Motive bzgl. Sicherheit Absicherung des lokalen Netzwerkes Standardisierte Lösung (keine Bastellösung) Möglichst automatisierte Reaktion auf Attacken Erweitertes Logging, Eskalationswege Geringer Wartungsaufwand Hohe Erkennungsrate Hohe Bandbreite Übernahme des operativen Betriebs durch geringer qualifiziertes Personal (keine Experten)

6 6 Was ist ein IPS ? Traffic wird im Vergleich zum IDS bei Angriffen … Blockiert, Reduziert, Alarmiert, Blacklist (alles bidirektional !) Weitere Aktion: ggf. Senden von TCP-Reset an die Quelle Transparenter Modus (inline mode), keine Änderungen des Traffic Erkennung muß exakt und schnell sein, da sonst legaler Traffic blockiert wird (false positive) (selbstgebautes DoS) Erkennung in L2-L7 Hohe Bandbreite erforderlich (kein Engpass im Netz) Internet Logging und ggf. Auswertung IPS L2-Bridge Firewall LAN block bei Attacken !

7 7 Vergleich IDS vs. IPS IDSIDSIPSIPS + aktive Abwehr von Angriffen + geringerer administrativer Aufwand - im inline mode: schnelle Erkennung und Reaktion erforderlich Hardware hoher Preis + Einsatz mehrerer Sensoren im Netz - Überwachung des IDS durch Administrator erforderlich - (zu)viele Logging- ingformationen vs.

8 8 IPS-Typen hostbasierte IDS/IPS (Software auf Endgerät) + geringe Datenmenge + Systemzustand erkennbar, schädlicher Code + Bei false positive nur eigenes System betroffen - ggf. auf OS-Ebene auszuhebeln, da Programm/Dienst - Verwaltung pro Host - eingeschränkte Sicht (nur host) netzbasierte IDS/IPS NIPS(Software o. Appliance zentral) + kann ganzes Segment überwachen/schützen + besserer Schutz bei (D)DoS Attacken + Überblick über gesamtes Netz (Gesamtbild ergibt erst eine Attacke) + sieht auch Attacken auf unbenutzte Adressen + zentrales Management - hohe Bandbreite erforderlich, Latenzen ?

9 9 Tippingpoint IPS Features: Kombination Hard- & Softwarelösung Signatur, Ereignis, verhaltensbasierte Erkennung automatische Signaturupdates in kurzen Abständen Verschiedene Eventkategorien (Critical... Minor) Feintuning der Events möglich Aktionen: Block, Inform, Reduce … Ausgereiftes Loging & Reporting (Flatfile (CSV), XML, PDF, HTML, Grafik)

10 10 IPS-Test im GWDG Lab Gerät: TippingPoint 2400, 2 Wochen bei der GWDG im Testbetrieb am Internetzugang (1GBit/s), sowie am WLAN Übergang (100MBit/s) Bandbreite GBit/s (transparent), 4 Doppelports (GBit/s) Regulärer Betrieb seit Anfang 12/05 Internet GÖNET WLAN PC für Penetrationstest Honeypot, bzw. unsicheres System 1GBit/s 100MBit/s Testaufbau bei der GWDG Tippingpoint SMS SMS: Security Manager System Dell Server mit RedHat Logging, Auswertung, Tracking, db SMS Client

11 11 IPS-Test im GWDG Lab Penetrationstest (Attacks) Opfersystem: PC mit debian (Knoppix) honeyd Angreifer:Laptop mit Windows XP und whoppix(whax) unter VMWARE, sowie Nessus PC (Debian: Knoppix iWhax,Nessus, nmap) Honeypot, Knoppix (mit Honeyd) Bzw. Windows 98 in VMWARE 100MBit/s …

12 12 IPS-Test im GWDG Lab Nikto web scan nmap nessus Ping mit Inhalt Stacheldraht Attacke:IPS Logfile Event ID Ergebnis (Attacks)

13 13 IPS-Test im GWDG Lab Penetrationstest (Bandbreite) Systeme (Quelle & Ziel): PCs mit IPERF, 1GBit Connection Software: IPERF als Daemon und Client (http://dast.nlanr.net/Projects/Iperf/) Bandbreitentest IPERF als Daemon 1GBis/s IPERF als Client 1GBit/s UDP Traffic

14 14 IPS-Test im GWDG Lab Ergebnis (Bandbreite) IPS hatte bis zu Bandbreiten von 800 MBit/s keine Packet-Loss Bei höheren Bandbreiten aktivierte das IPS die eigene Performance Protection, wobei Alerts automatisch für 600 Sekunden deaktiviert wurde … Die Schwellwerte sowie die Dauer der Performance Protection können verändert werden

15 15 IPS-Test im GWDG Lab Penetrationstest Fazit: Die meisten provozierten Attacken wurden erkannt Nicht erkannt wurden: - (einige) SQL Injection Attacks, hier gab es in letzter Zeit verbesserte Filter - SSH Attacken (User/Password-Dictionary Attacks). (Ansich ist ein SSH mit mehr als 5 Usernamen pro Quell- und Zieladresse pro Sekunde eine Attacke) Bei sehr hohen Bandbreiten kommt das System in die Begrenzung, weiß sich aber grundlegend davor zu schützen

16 16 IPS-Test im GWDG Lab Ergebnisse der Testphase: Erkennung & Reports No. 1 ist immer noch SQL-Slammer > 8E6 Events/Woche ( single UDP packet) Einige Attacken konnten nicht erkannt werden, da hinter dem IPS ACLs auf dem Router existierten (Kommunikation hinter IPS wurde geblockt) Viele interne Systeme, die externe Ziele angriffen wurden erkannt (Übereinstimmung mit unseren bisherigen Security-Scripts)

17 17 IPS-Test im GWDG Lab Ergebnisse der Testphase: Erkennung & Reports Top Ten Attacks während der 10-tägigen Testphase (ohne Slammer) Viele Spyware Verbindungen von Innen nach Außen wurden erkannt und blockiert Event ID# HitsOhne SQL Slammer

18 18 IPS-Test im GWDG Lab Ergebnisse der Testphase: Erkennung & Reports Alternativ auch Syslog in diversen Formaten Zugriff auf MySQL db des SMS, Auswertung durch eigene Queries :11:24Auth.Critical ;4;" ";" ";"1456: MS-SQL: Slammer-Sapphire Worm";1456;"udp";" ";1125;" ";1434;2;3;3;"IPS"; ; :11:24Auth.Notice ;1;"5e f9-11da-41c4-9ef6bcf14fa9";" ";"3746: Spyware: CrackSpider Information Transfer";3746;"http";" ";1700;" ";80;1;3;3;"IPS"; ; :11:24Auth.Notice ;1;"6287b1d da-41c4-9ef6bcf14fa9";" ";"3298: Spyware: Click Spring/PurityScan Communication";3298;"http";" ";1099;" ";80;1;3;1;"IPS"; ; :11:34Auth.Notice ;1;"5e951fd0-28f9-11da-41c4-9ef6bcf14fa9";" ";"2965: Spyware: SaveNow/WhenU Program Download";2965;"http";" ";1056;" ";80;1;3;3;"IPS"; ; :11:34Auth.Critical ;4;" ";" ";"2289: MS-RPC: DCOM ISystemActivator Overflow";2289;"tcp";" ";1388;" ";135;1;3;1;"IPS"; ; DCOM I SystemActivator Overflow";2289;"tcp";" ";1388;"

19 19 IPS-Test im GWDG Lab Falscher Alarm (False Positive) Schwer zu beurteilen, während der Testphase gab es keinerlei Beschwerden bzgl. Störungen Tests innerhalb der GWDG bestätigten keine false positives Im Tippingpointsystem können(sollten) jedoch die Events angepasst werden (block, inform, reduce …) um Fehlalarme und etwaige Blockaden zu vermeiden (Vorgaben sind aber i.d.R. sinnvoll)

20 20 IPS-Test im GWDG Lab Ergebnisse der Testphase: TrafficShaping (misuse) Tippingpoint erlaubt Bandbreitenbegrenzung für beliebige Events (und Event-Gruppen) In der Testphase haben wir alle Tauschbörsen-Events zusammengefasst und begrenzt (20 MBit/s) Auch hier gab es keine Benutzerbeschwerden (…es fiel manchen Benutzern schwer, sich wegen schlecht funktionierender Tauschbörsen zu beschweren) MBits/s alle Tauschbörsen

21 21 IPS-Test im GWDG Lab Erkennung infiziertes Systeme innerhalb des Netzes durch das IPS Attacken und virulentes Verhalten von Innen nach Außen lässt Rückschlüsse auf bereits infizierte, oder okkupierte Systeme zu Hier können gezielt, befallene Systeme erkannt/bereinigt werden Attacken von Innen nach Außen (1 Week)

22 22 IPS-Test im GWDG Lab Effektiver Schutz: (Konkrete Beispiele der jüngeren Vergangenheit) Am wurde die WMF-Lücke bekannt. ( ) Am (abends) war ein entsprechender Filter automatisch geladen und die Angriffe vom IPS automatisch abgewehrt Erst einen Tag später merkten wir, dass wir bereits seit mehr als einem Tag nahezu immun gegen die WMF-Attacke waren Attack Type: Permits+Blocks Severity: Critical, Major From: Mon Dec 26 14:51:38 CET 2005 To: Mon Jan 02 15:51:38 CET 2006 WMF-Attack

23 23 IPS-Test im GWDG Lab Effektiver Schutz: (Konkrete Beispiele der jüngeren Vergangenheit) Am wurde vor der NYXEM.e Ausbreitungswelle gewarnt. Am haben wir den bereits seit längerem geladenen Filter aktiviert Wenige Sekunden später wurden die ersten NYXEM Attachments vom IPS abgewehrt (Ziel waren die Mailserver) Filter Name: Filter Number: Sourc e IP: Destination IP:Hits:Severity: 4122: SMTP: Nyxem.E (CME-24) Worm Attachment4122x.x.x.x Critical 4122: SMTP: Nyxem.E (CME-24) Worm Attachment4122x.x.x.x Critical 4122: SMTP: Nyxem.E (CME-24) Worm Attachment4122x.x.x.x Critical … NYXEM.e Virus

24 24 Fazit IPS/IDS (allgemein): Ein IDS/IPS ersetzt keine! Firewall oder Virenscanner Sinnvoller Schutz In Kombination mit Firewall, Viren & Spyware Scanner, ProxyServer Bildet zweite Verteidigungslinie hinter einer Firewall (Traffic, der nicht zugelassen wird, muß nicht geprüft werden) Durch Verhaltens- und Anomalieerkennung zusätzlicher Schutz innerhalb des Netzwerkes (kann eine Firewall i.d.R. nicht lösen) Einsatz mehrerer Sensoren (geografisch verteilt) zur Erkennung von Angriffsmustern möglich (i.d.R. bei IDS) IPS auch in Kombination mit IDS einsetzbar !? NID(P)S & HID(P)S in Kombination sinnvoll nutzbar !? I.d.R. kein Schutz bei verschlüsselten Verbindungen

25 25 Fazit IPS von Tippingpoint: GWDG hatte verschiedene System im Test bzw. betrachtet McAfee (Intrushield), CISCO (Mars 1 ) Aufgrund des Vergleiches war Tippingpoint die Wahl GWDG hat System Tippingpoint 2400 gekauft System wird Internetzugang sowie weitere interne Netzbereiche absichern Ein Ersatz der selbstgeschriebenen Scripts zur Erkennung abnormalen Verhaltens durch das IPS ist möglich Erhebliche Zeiteinsparungen im Bereich des Security-Managements Sehr einfache Integration in bestehende Netzstruktur 1) Monitoring, Analysis and Response System

26 26 Fazit IPS von Tippingpoint: Erhebliche zeitliche Einsparung bei Nachforschungen bzgl. erfolgreicher Attacken und Eindringlingen (bisheriger Aufwand: 2-3 Mann-Stunden/Tag) Sehr ausgereiftes, und an die Bedürfnisse adaptierbares Reporting (SQL-Database) Ausgliederung wesentlicher Dienste des IPS vom Security Experten zum unserem Help-Desk Team

27 27 Fazit IPS von Tippingpoint ROI: Annahme: Kosten = (Anschaffungspreis + Installationskosten + Wartungskosten für 3 Jahre) = 115 T Einsparung: Halben IT-Angestellten mit einem Gehalt von 60 T /a Einsparungen bei der Analyse erfolgreicher Attacken: 2,5 h/Day * 200 Days = 500 h/a * 20/h Jahre= 115T = 2,88 Jahre 60T + (500h * 20/h)

28 28 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL … Fragen Vielen Dank! und Diskussionen! ? ?

29 29 Dieses Script: (Vorträge)http://www.gwdg.de/~aisslei/ Tippingpoint: Snort: Whoppix: Adresse: Andreas Ißleiber mail: Phone: Effizienter Einsatz von IPS in Netzen


Herunterladen ppt "Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119"

Ähnliche Präsentationen


Google-Anzeigen