Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Effizienter Einsatz von IPS in Netzen

Ähnliche Präsentationen


Präsentation zum Thema: "Effizienter Einsatz von IPS in Netzen"—  Präsentation transkript:

1 Effizienter Einsatz von IPS in Netzen
Andreas Ißleiber

2 Über uns… (Gesellschaft)
GWDG, Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen GWDG ist eine gemeinsame Einrichtung des Landes Niedersachsen und der Max-Planck-Gesellschaft (GmbH), Gründung 1970, 65 Beschäftigte Doppelfunktion als…: Zentrales Hochschul-Rechenzentrum der Universität Göttingen mit Studierenden, Beschäftigten Rechen- und Kompetenzzentrum der Max-Planck Gesellschaft (Bundesweit) ca. 80 Institute Beschäftigte

3 Über uns… (Netzwerk) GWDG ist Netzwerkbetreiber für die Göttinger Wissenschaftsnetz (GÖNET), Class B Netz >= Nodes, User Internet access: 1GBit/s

4 Bisherige Schutzmechanismen
Logfileauswertung der Router-Daten (Flows) Auswertung von abnormalem Traffic (Volumina) Erkennung virulenten Verhaltens (ARP-Requests) Alarm bei Nutzung subtiler, verdächtiger Ports (Diplomarbeit) IDS System (Enterrasys Dragon) Pro Contra Eigenentwicklung, Anpassung an lokale Bedürfnisse Hoher Entwicklungsaufwand Ggf. Sicherheitslücken, keine schnelle Reaktion auf Angriffswellen möglich Geringere Stabilität, hoher Wartungsaufwand

5 Anforderungen, Motive bzgl. Sicherheit
Absicherung des lokalen Netzwerkes Standardisierte Lösung (keine „Bastellösung“) Möglichst automatisierte Reaktion auf Attacken Erweitertes Logging, Eskalationswege Geringer Wartungsaufwand Hohe Erkennungsrate Hohe Bandbreite Übernahme des operativen Betriebs durch geringer qualifiziertes Personal (keine Experten)

6 Was ist ein IPS ? Traffic wird im Vergleich zum IDS bei Angriffen … Blockiert, Reduziert, Alarmiert, Blacklist (alles bidirektional !) Weitere Aktion: ggf. Senden von TCP-„Reset“ an die Quelle Transparenter Modus (inline mode), keine Änderungen des Traffic Erkennung muß exakt und schnell sein, da sonst legaler Traffic blockiert wird (false positive) (selbstgebautes DoS) Erkennung in L2-L7 Hohe Bandbreite erforderlich (kein Engpass im Netz) ! Internet Logging und ggf. Auswertung Firewall „block“ bei Attacken IPS L2-Bridge LAN

7 Vergleich IDS vs. IPS IDS IPS vs.
+ Einsatz mehrerer Sensoren im Netz - Überwachung des IDS durch Administrator erforderlich (zu)viele Logging- ingformationen + aktive Abwehr von Angriffen + geringerer administrativer Aufwand im inline mode: schnelle Erkennung und Reaktion erforderlich Hardware  hoher Preis

8 IPS-Typen hostbasierte IDS/IPS (Software auf Endgerät)
+ geringe Datenmenge + Systemzustand erkennbar, schädlicher Code + Bei „false positive“ nur eigenes System betroffen - ggf. auf OS-Ebene auszuhebeln, da Programm/Dienst - Verwaltung pro Host - eingeschränkte Sicht (nur host) netzbasierte IDS/IPS „NIPS“(Software o. Appliance zentral) + kann ganzes Segment überwachen/schützen + besserer Schutz bei (D)DoS Attacken + Überblick über gesamtes Netz (Gesamtbild ergibt erst eine Attacke) + sieht auch Attacken auf unbenutzte Adressen + zentrales Management - hohe Bandbreite erforderlich, Latenzen ?

9 Tippingpoint IPS Features: Kombination Hard- & Softwarelösung
Signatur, Ereignis, verhaltensbasierte Erkennung automatische Signaturupdates in kurzen Abständen Verschiedene Eventkategorien (Critical ... Minor) Feintuning der Events möglich  Aktionen: Block, Inform, Reduce … Ausgereiftes Loging & Reporting (Flatfile (CSV), XML, PDF, HTML, Grafik)

10 IPS-Test im GWDG Lab Gerät: TippingPoint 2400, 2 Wochen bei der GWDG im Testbetrieb am Internetzugang (1GBit/s), sowie am WLAN Übergang (100MBit/s) Bandbreite GBit/s (transparent), 4 Doppelports (GBit/s) Regulärer Betrieb seit Anfang 12/05 Testaufbau bei der GWDG 100MBit/s 100MBit/s Internet PC für Penetrationstest WLAN 1GBit/s SMS Client Tippingpoint SMS SMS: Security Manager System Dell Server mit RedHat  Logging, Auswertung, Tracking, db GÖNET Honeypot, bzw. unsicheres System

11 IPS-Test im GWDG Lab Penetrationstest (Attacks)
Opfersystem: PC mit debian (Knoppix) honeyd Angreifer: Laptop mit Windows XP und whoppix(whax) unter VMWARE, sowie Nessus PC (Debian: Knoppix „iWhax“,Nessus, nmap) 100MBit/s 100MBit/s Honeypot, Knoppix (mit Honeyd) Bzw. Windows 98 in VMWARE

12 IPS-Test im GWDG Lab Ergebnis (Attacks) IPS Logfile Attacke: nmap nmap
Nikto web scan nmap nmap nessus nessus Ping mit „Inhalt“ Stacheldraht Event ID

13 IPS-Test im GWDG Lab Penetrationstest (Bandbreite)
Systeme (Quelle & Ziel): PCs mit „IPERF“, 1GBit Connection Software: IPERF als Daemon und Client (http://dast.nlanr.net/Projects/Iperf/) Bandbreitentest IPERF als Client 1GBis/s 1GBit/s UDP Traffic 1GBis/s IPERF als Daemon

14 IPS-Test im GWDG Lab Ergebnis (Bandbreite)
IPS hatte bis zu Bandbreiten von 800 MBit/s keine Packet-Loss Bei höheren Bandbreiten aktivierte das IPS die eigene „Performance Protection“, wobei „Alerts“ automatisch für 600 Sekunden deaktiviert wurde … Die Schwellwerte sowie die Dauer der Performance Protection können verändert werden

15 IPS-Test im GWDG Lab Penetrationstest Fazit:
Die meisten provozierten Attacken wurden erkannt Nicht erkannt wurden: - (einige) SQL Injection Attacks, hier gab es in letzter Zeit verbesserte Filter - SSH Attacken (User/Password-Dictionary Attacks). (Ansich ist ein SSH mit mehr als 5 Usernamen pro Quell- und Zieladresse pro Sekunde eine Attacke) Bei sehr hohen Bandbreiten kommt das System in die Begrenzung, weiß sich aber grundlegend davor zu schützen

16 IPS-Test im GWDG Lab Ergebnisse der Testphase: Erkennung & Reports
No. 1 ist immer noch SQL-Slammer > 8E6 Events/Woche ( single UDP packet) Einige Attacken konnten nicht erkannt werden, da hinter dem IPS ACLs auf dem Router existierten (Kommunikation hinter IPS wurde geblockt) Viele interne Systeme, die externe Ziele „angriffen“ wurden erkannt (Übereinstimmung mit unseren bisherigen Security-Scripts)

17 IPS-Test im GWDG Lab Ergebnisse der Testphase: Erkennung & Reports
Top Ten Attacks während der 10-tägigen Testphase (ohne Slammer) Viele Spyware Verbindungen von Innen nach Außen wurden erkannt und blockiert Ohne SQL Slammer Event ID # Hits

18 Ergebnisse der Testphase: Erkennung & Reports
IPS-Test im GWDG Lab Ergebnisse der Testphase: Erkennung & Reports Alternativ auch Syslog in diversen Formaten Zugriff auf MySQL db des SMS, Auswertung durch eigene Queries :11:24 Auth.Critical ;4;" ";" ";"1456: MS-SQL: Slammer-Sapphire Worm";1456;"udp";" ";1125;" ";1434;2;3;3;"IPS"; ; :11:24 Auth.Notice ;1;"5e f9-11da-41c4-9ef6bcf14fa9";" ";"3746: Spyware: CrackSpider Information Transfer";3746;"http";" ";1700;" ";80;1;3;3;"IPS"; ; :11:24 Auth.Notice ;1;"6287b1d da-41c4-9ef6bcf14fa9";" ";"3298: Spyware: Click Spring/PurityScan Communication";3298;"http";" ";1099;" ";80;1;3;1;"IPS"; ; :11:34 Auth.Notice ;1;"5e951fd0-28f9-11da-41c4-9ef6bcf14fa9";" ";"2965: Spyware: SaveNow/WhenU Program Download";2965;"http";" ";1056;" ";80;1;3;3;"IPS"; ; :11:34 Auth.Critical ;4;" ";" ";"2289: MS-RPC: DCOM ISystemActivator Overflow";2289;"tcp";" ";1388;" ";135;1;3;1;"IPS"; ; DCOM I SystemActivator Overflow";2289;"tcp";" ";1388;"

19 IPS-Test im GWDG Lab Falscher Alarm (False Positive) „Schwer zu beurteilen“, während der Testphase gab es keinerlei Beschwerden bzgl. Störungen Tests innerhalb der GWDG bestätigten keine „false positives“ Im Tippingpointsystem können(sollten) jedoch die Events angepasst werden (block, inform, reduce …) um Fehlalarme und etwaige Blockaden zu vermeiden (Vorgaben sind aber i.d.R. sinnvoll)

20 Ergebnisse der Testphase: TrafficShaping (misuse)
IPS-Test im GWDG Lab Ergebnisse der Testphase: TrafficShaping (misuse) Tippingpoint erlaubt Bandbreitenbegrenzung für beliebige Events (und Event-Gruppen) In der Testphase haben wir alle Tauschbörsen-Events zusammengefasst und „begrenzt“ (20 MBit/s) Auch hier gab es keine Benutzerbeschwerden (…es fiel manchen Benutzern schwer, sich wegen schlecht funktionierender Tauschbörsen zu beschweren) MBits/s alle Tauschbörsen

21 IPS-Test im GWDG Lab Erkennung infiziertes Systeme innerhalb des Netzes durch das IPS Attacken und virulentes Verhalten von Innen nach Außen lässt Rückschlüsse auf bereits infizierte, oder okkupierte Systeme zu Hier können gezielt, befallene Systeme erkannt/bereinigt werden Attacken von Innen nach Außen (1 Week)

22 IPS-Test im GWDG Lab Effektiver Schutz: (Konkrete Beispiele der jüngeren Vergangenheit) Am wurde die WMF-Lücke bekannt. (http://www.f-secure.com/weblog/archives/archive html# ) Am (abends) war ein entsprechender Filter automatisch geladen und die Angriffe vom IPS automatisch abgewehrt Erst einen Tag später merkten wir, dass wir bereits seit mehr als einem Tag nahezu „immun“ gegen die WMF-Attacke waren Attack Type: Permits+Blocks Severity: Critical, Major From: Mon Dec 26 14:51:38 CET 2005 To: Mon Jan 02 15:51:38 CET 2006 WMF-Attack

23 IPS-Test im GWDG Lab Effektiver Schutz: (Konkrete Beispiele der jüngeren Vergangenheit) Am wurde vor der NYXEM.e Ausbreitungswelle gewarnt. Am haben wir den bereits seit längerem geladenen Filter „aktiviert“ Wenige Sekunden später wurden die ersten NYXEM Attachments vom IPS abgewehrt (Ziel waren die Mailserver) Filter Name: Filter Number: Source IP: Destination IP: Hits: Severity: 4122: SMTP: Nyxem.E (CME-24) Worm Attachment 4122 x.x.x.x 24 Critical 11 10 NYXEM.e Virus

24 Fazit IPS/IDS (allgemein):
Ein IDS/IPS ersetzt keine! Firewall oder Virenscanner Sinnvoller Schutz In Kombination mit Firewall, Viren & Spyware Scanner, ProxyServer Bildet zweite Verteidigungslinie hinter einer Firewall (Traffic, der nicht zugelassen wird, muß nicht geprüft werden) Durch Verhaltens- und Anomalieerkennung  zusätzlicher Schutz innerhalb des Netzwerkes (kann eine Firewall i.d.R. nicht lösen) Einsatz mehrerer Sensoren (geografisch verteilt) zur Erkennung von Angriffsmustern möglich (i.d.R. bei IDS) IPS auch in Kombination mit IDS einsetzbar !? NID(P)S & HID(P)S in Kombination sinnvoll nutzbar !? I.d.R. kein Schutz bei verschlüsselten Verbindungen

25 Fazit IPS von Tippingpoint:
GWDG hatte verschiedene System im Test bzw. betrachtet  McAfee (Intrushield), CISCO (Mars1) Aufgrund des Vergleiches war Tippingpoint die „Wahl“ GWDG hat System Tippingpoint 2400 gekauft System wird Internetzugang sowie weitere interne Netzbereiche absichern Ein Ersatz der „selbstgeschriebenen“ Scripts zur Erkennung abnormalen Verhaltens durch das IPS ist möglich Erhebliche Zeiteinsparungen im Bereich des Security-Managements Sehr einfache Integration in bestehende Netzstruktur 1) Monitoring, Analysis and Response System

26 Fazit IPS von Tippingpoint:
Erhebliche zeitliche Einsparung bei Nachforschungen bzgl. erfolgreicher Attacken und Eindringlingen (bisheriger Aufwand: 2-3 Mann-Stunden/Tag) Sehr ausgereiftes, und an die Bedürfnisse adaptierbares Reporting (SQL-Database) Ausgliederung wesentlicher Dienste des IPS vom Security Experten zum unserem Help-Desk Team

27 Fazit IPS von Tippingpoint ROI:
Annahme: Kosten = (Anschaffungspreis + Installationskosten + Wartungskosten für 3 Jahre) = 115 T€ Einsparung: Halben IT-Angestellten mit einem Gehalt von 60 T €/a Einsparungen bei der Analyse erfolgreicher Attacken: 2,5 h/Day * 200 Days = 500 h/a * 20€/h Jahre= T€ = 2,88 Jahre 60T€ (500h * 20€/h)

28 ? … Fragen Vielen Dank! und Diskussionen! C O C S I M E Y S S T S C O
POWER UPPER CISCO S YSTEMS LOWER POWER NORMAL und Diskussionen!

29 Effizienter Einsatz von IPS in Netzen
Dieses Script: (Vorträge) Tippingpoint: Snort: Whoppix: Adresse: Andreas Ißleiber mail: Phone:


Herunterladen ppt "Effizienter Einsatz von IPS in Netzen"

Ähnliche Präsentationen


Google-Anzeigen