Effizienter Einsatz von IPS in Netzen Andreas Ißleiber aisslei@gwdg.de

Über uns… (Gesellschaft) GWDG, Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen GWDG ist eine gemeinsame Einrichtung des Landes Niedersachsen und der Max-Planck-Gesellschaft (GmbH), Gründung 1970, 65 Beschäftigte Doppelfunktion als…: Zentrales Hochschul-Rechenzentrum der Universität Göttingen mit 25.000 Studierenden, 13.000 Beschäftigten Rechen- und Kompetenzzentrum der Max-Planck Gesellschaft (Bundesweit) ca. 80 Institute 12.000 Beschäftigte

Über uns… (Netzwerk) GWDG ist Netzwerkbetreiber für die Göttinger Wissenschaftsnetz (GÖNET), Class B Netz >= 12.000 Nodes, 38.000 User Internet access: 1GBit/s

Bisherige Schutzmechanismen Logfileauswertung der Router-Daten (Flows) Auswertung von abnormalem Traffic (Volumina) Erkennung virulenten Verhaltens (ARP-Requests) Alarm bei Nutzung subtiler, verdächtiger Ports (Diplomarbeit) IDS System (Enterrasys Dragon) Pro Contra Eigenentwicklung, Anpassung an lokale Bedürfnisse Hoher Entwicklungsaufwand Ggf. Sicherheitslücken, keine schnelle Reaktion auf Angriffswellen möglich Geringere Stabilität, hoher Wartungsaufwand

Anforderungen, Motive bzgl. Sicherheit Absicherung des lokalen Netzwerkes Standardisierte Lösung (keine „Bastellösung“) Möglichst automatisierte Reaktion auf Attacken Erweitertes Logging, Eskalationswege Geringer Wartungsaufwand Hohe Erkennungsrate Hohe Bandbreite Übernahme des operativen Betriebs durch geringer qualifiziertes Personal (keine Experten)

Was ist ein IPS ? Traffic wird im Vergleich zum IDS bei Angriffen … Blockiert, Reduziert, Alarmiert, Blacklist (alles bidirektional !) Weitere Aktion: ggf. Senden von TCP-„Reset“ an die Quelle Transparenter Modus (inline mode), keine Änderungen des Traffic Erkennung muß exakt und schnell sein, da sonst legaler Traffic blockiert wird (false positive) (selbstgebautes DoS) Erkennung in L2-L7 Hohe Bandbreite erforderlich (kein Engpass im Netz) ! Internet Logging und ggf. Auswertung Firewall „block“ bei Attacken IPS L2-Bridge LAN

Vergleich IDS vs. IPS IDS IPS vs. + Einsatz mehrerer Sensoren im Netz - Überwachung des IDS durch Administrator erforderlich (zu)viele Logging- ingformationen + aktive Abwehr von Angriffen + geringerer administrativer Aufwand im inline mode: schnelle Erkennung und Reaktion erforderlich Hardware  hoher Preis

IPS-Typen hostbasierte IDS/IPS (Software auf Endgerät) + geringe Datenmenge + Systemzustand erkennbar, schädlicher Code + Bei „false positive“ nur eigenes System betroffen - ggf. auf OS-Ebene auszuhebeln, da Programm/Dienst - Verwaltung pro Host - eingeschränkte Sicht (nur host) netzbasierte IDS/IPS „NIPS“(Software o. Appliance zentral) + kann ganzes Segment überwachen/schützen + besserer Schutz bei (D)DoS Attacken + Überblick über gesamtes Netz (Gesamtbild ergibt erst eine Attacke) + sieht auch Attacken auf unbenutzte Adressen + zentrales Management - hohe Bandbreite erforderlich, Latenzen ?

Tippingpoint IPS Features: Kombination Hard- & Softwarelösung Signatur, Ereignis, verhaltensbasierte Erkennung automatische Signaturupdates in kurzen Abständen Verschiedene Eventkategorien (Critical ... Minor) Feintuning der Events möglich  Aktionen: Block, Inform, Reduce … Ausgereiftes Loging & Reporting (Flatfile (CSV), XML, PDF, HTML, Grafik)

IPS-Test im GWDG Lab Gerät: TippingPoint 2400, 2 Wochen bei der GWDG im Testbetrieb am Internetzugang (1GBit/s), sowie am WLAN Übergang (100MBit/s) Bandbreite 2-2.4 GBit/s (transparent), 4 Doppelports (GBit/s) Regulärer Betrieb seit Anfang 12/05 Testaufbau bei der GWDG 100MBit/s 100MBit/s Internet PC für Penetrationstest WLAN 1GBit/s SMS Client Tippingpoint SMS SMS: Security Manager System Dell Server mit RedHat  Logging, Auswertung, Tracking, db GÖNET Honeypot, bzw. unsicheres System

IPS-Test im GWDG Lab Penetrationstest (Attacks) Opfersystem: PC mit debian (Knoppix) honeyd Angreifer: Laptop mit Windows XP und whoppix(whax) unter VMWARE, sowie Nessus PC (Debian: Knoppix „iWhax“,Nessus, nmap) 192.168.10.100 100MBit/s 100MBit/s 192.168.1.1 … 192.168.1.30 Honeypot, Knoppix (mit Honeyd) Bzw. Windows 98 in VMWARE

IPS-Test im GWDG Lab Ergebnis (Attacks) IPS Logfile Attacke: nmap nmap Nikto web scan nmap nmap nessus nessus Ping mit „Inhalt“ Stacheldraht Event ID

IPS-Test im GWDG Lab Penetrationstest (Bandbreite) Systeme (Quelle & Ziel): PCs mit „IPERF“, 1GBit Connection Software: IPERF als Daemon und Client (http://dast.nlanr.net/Projects/Iperf/) Bandbreitentest IPERF als Client 192.168.1.100 1GBis/s 1GBit/s UDP Traffic 1GBis/s IPERF als Daemon 192.168.1.1

IPS-Test im GWDG Lab Ergebnis (Bandbreite) IPS hatte bis zu Bandbreiten von 800 MBit/s keine Packet-Loss Bei höheren Bandbreiten aktivierte das IPS die eigene „Performance Protection“, wobei „Alerts“ automatisch für 600 Sekunden deaktiviert wurde … Die Schwellwerte sowie die Dauer der Performance Protection können verändert werden

IPS-Test im GWDG Lab Penetrationstest Fazit: Die meisten provozierten Attacken wurden erkannt Nicht erkannt wurden: - (einige) SQL Injection Attacks, hier gab es in letzter Zeit verbesserte Filter - SSH Attacken (User/Password-Dictionary Attacks). (Ansich ist ein SSH mit mehr als 5 Usernamen pro Quell- und Zieladresse pro Sekunde eine Attacke) Bei sehr hohen Bandbreiten kommt das System in die Begrenzung, weiß sich aber grundlegend davor zu schützen

IPS-Test im GWDG Lab Ergebnisse der Testphase: Erkennung & Reports No. 1 ist immer noch SQL-Slammer > 8E6 Events/Woche ( single UDP packet) Einige Attacken konnten nicht erkannt werden, da hinter dem IPS ACLs auf dem Router existierten (Kommunikation hinter IPS wurde geblockt) Viele interne Systeme, die externe Ziele „angriffen“ wurden erkannt (Übereinstimmung mit unseren bisherigen Security-Scripts)

IPS-Test im GWDG Lab Ergebnisse der Testphase: Erkennung & Reports Top Ten Attacks während der 10-tägigen Testphase (ohne Slammer) Viele Spyware Verbindungen von Innen nach Außen wurden erkannt und blockiert Ohne SQL Slammer Event ID # Hits

Ergebnisse der Testphase: Erkennung & Reports IPS-Test im GWDG Lab Ergebnisse der Testphase: Erkennung & Reports Alternativ auch Syslog in diversen Formaten Zugriff auf MySQL db des SMS, Auswertung durch eigene Queries 2005-09-29 10:11:24 Auth.Critical 10.76.10.40 8;4;"00000002-0002-0002-0002-000000001456";"00000001-0001-0001-0001-000000001456";"1456: MS-SQL: Slammer-Sapphire Worm";1456;"udp";"220.191.1.165";1125;"134.76.34.76";1434;2;3;3;"IPS";33625931;1127981498886 2005-09-29 10:11:24 Auth.Notice 10.76.10.40 8;1;"5e959504-28f9-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001-000000003746";"3746: Spyware: CrackSpider Information Transfer";3746;"http";"134.76.76.202";1700;"213.244.183.210";80;1;3;3;"IPS";67570433;1127981499386 2005-09-29 10:11:24 Auth.Notice 10.76.10.40 8;1;"6287b1d0-2119-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001-000000003298";"3298: Spyware: Click Spring/PurityScan Communication";3298;"http";"134.76.3.9";1099;"63.251.135.15";80;1;3;1;"IPS";67570433;1127981501686 2005-09-29 10:11:34 Auth.Notice 10.76.10.40 8;1;"5e951fd0-28f9-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001-000000002965";"2965: Spyware: SaveNow/WhenU Program Download";2965;"http";"134.76.170.87";1056;"212.201.100.135";80;1;3;3;"IPS";67570433;1127981513069 2005-09-29 10:11:34 Auth.Critical 10.76.10.40 8;4;"00000002-0002-0002-0002-000000002289";"00000001-0001-0001-0001-000000002289";"2289: MS-RPC: DCOM ISystemActivator Overflow";2289;"tcp";"134.76.3.62";1388;"134.76.26.232";135;1;3;1;"IPS";16907851;1127981510052 DCOM I SystemActivator Overflow";2289;"tcp";"134.76.3.62";1388;"134.76.26.232

IPS-Test im GWDG Lab Falscher Alarm (False Positive) „Schwer zu beurteilen“, während der Testphase gab es keinerlei Beschwerden bzgl. Störungen Tests innerhalb der GWDG bestätigten keine „false positives“ Im Tippingpointsystem können(sollten) jedoch die Events angepasst werden (block, inform, reduce …) um Fehlalarme und etwaige Blockaden zu vermeiden (Vorgaben sind aber i.d.R. sinnvoll)

Ergebnisse der Testphase: TrafficShaping (misuse) IPS-Test im GWDG Lab Ergebnisse der Testphase: TrafficShaping (misuse) Tippingpoint erlaubt Bandbreitenbegrenzung für beliebige Events (und Event-Gruppen) In der Testphase haben wir alle Tauschbörsen-Events zusammengefasst und „begrenzt“ (20 MBit/s) Auch hier gab es keine Benutzerbeschwerden (…es fiel manchen Benutzern schwer, sich wegen schlecht funktionierender Tauschbörsen zu beschweren) MBits/s alle Tauschbörsen

IPS-Test im GWDG Lab Erkennung infiziertes Systeme innerhalb des Netzes durch das IPS Attacken und virulentes Verhalten von Innen nach Außen lässt Rückschlüsse auf bereits infizierte, oder okkupierte Systeme zu Hier können gezielt, befallene Systeme erkannt/bereinigt werden Attacken von Innen nach Außen (1 Week)

IPS-Test im GWDG Lab Effektiver Schutz: (Konkrete Beispiele der jüngeren Vergangenheit) Am 28.12.05 wurde die WMF-Lücke bekannt. (http://www.f-secure.com/weblog/archives/archive-122005.html#00000752) Am 28.12.05 (abends) war ein entsprechender Filter automatisch geladen und die Angriffe vom IPS automatisch abgewehrt Erst einen Tag später merkten wir, dass wir bereits seit mehr als einem Tag nahezu „immun“ gegen die WMF-Attacke waren Attack Type: Permits+Blocks Severity: Critical, Major From: Mon Dec 26 14:51:38 CET 2005 To: Mon Jan 02 15:51:38 CET 2006 WMF-Attack

IPS-Test im GWDG Lab Effektiver Schutz: (Konkrete Beispiele der jüngeren Vergangenheit) Am 23.1.06 wurde vor der NYXEM.e Ausbreitungswelle gewarnt. Am 1.2.06 haben wir den bereits seit längerem geladenen Filter „aktiviert“ Wenige Sekunden später wurden die ersten NYXEM Attachments vom IPS abgewehrt (Ziel waren die Mailserver) Filter Name: Filter Number: Source IP: Destination IP: Hits: Severity: 4122: SMTP: Nyxem.E (CME-24) Worm Email Attachment 4122 x.x.x.x 134.76.10.26 24 Critical 193.175.80.133 11 134.76.21.104 10 … NYXEM.e Virus

Fazit IPS/IDS (allgemein): Ein IDS/IPS ersetzt keine! Firewall oder Virenscanner Sinnvoller Schutz In Kombination mit Firewall, Viren & Spyware Scanner, ProxyServer Bildet zweite Verteidigungslinie hinter einer Firewall (Traffic, der nicht zugelassen wird, muß nicht geprüft werden) Durch Verhaltens- und Anomalieerkennung  zusätzlicher Schutz innerhalb des Netzwerkes (kann eine Firewall i.d.R. nicht lösen) Einsatz mehrerer Sensoren (geografisch verteilt) zur Erkennung von Angriffsmustern möglich (i.d.R. bei IDS) IPS auch in Kombination mit IDS einsetzbar !? NID(P)S & HID(P)S in Kombination sinnvoll nutzbar !? I.d.R. kein Schutz bei verschlüsselten Verbindungen

Fazit IPS von Tippingpoint: GWDG hatte verschiedene System im Test bzw. betrachtet  McAfee (Intrushield), CISCO (Mars1) Aufgrund des Vergleiches war Tippingpoint die „Wahl“ GWDG hat System Tippingpoint 2400 gekauft System wird Internetzugang sowie weitere interne Netzbereiche absichern Ein Ersatz der „selbstgeschriebenen“ Scripts zur Erkennung abnormalen Verhaltens durch das IPS ist möglich Erhebliche Zeiteinsparungen im Bereich des Security-Managements Sehr einfache Integration in bestehende Netzstruktur 1) Monitoring, Analysis and Response System

Fazit IPS von Tippingpoint: Erhebliche zeitliche Einsparung bei Nachforschungen bzgl. erfolgreicher Attacken und Eindringlingen (bisheriger Aufwand: 2-3 Mann-Stunden/Tag) Sehr ausgereiftes, und an die Bedürfnisse adaptierbares Reporting (SQL-Database) Ausgliederung wesentlicher Dienste des IPS vom Security Experten zum unserem Help-Desk Team

Fazit IPS von Tippingpoint ROI: Annahme: Kosten = (Anschaffungspreis + Installationskosten + Wartungskosten für 3 Jahre) = 115 T€ Einsparung: Halben IT-Angestellten mit einem Gehalt von 60 T €/a Einsparungen bei der Analyse erfolgreicher Attacken: 2,5 h/Day * 200 Days = 500 h/a * 20€/h Jahre= 115T€ = 2,88 Jahre 60T€ + (500h * 20€/h) 2 1000

? … Fragen Vielen Dank! und Diskussionen! C O C S I M E Y S S T S C O POWER UPPER CISCO S YSTEMS LOWER POWER NORMAL und Diskussionen!

Effizienter Einsatz von IPS in Netzen Dieses Script: http://www.gwdg.de/~aisslei/ (Vorträge) Tippingpoint: http://www.tippingpoint.com/ Snort: http://www.snort.org/ Whoppix: http://www.iwhax.net Adresse: Andreas Ißleiber mail: aisslei@gwdg.de Phone: +49 551 201-1815