Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax: von IPS in der GWDG (Beispiel: Tippingpoint) Andreas Ißleiber

2 IPS in der GWDG Was ist ein (I)ntrusion (P)revention (S)ystem? Traffic wird im Vergleich zum IDS bei Angriffen … Alarmiert, Reduziert, Blockiert, Source IP zeitweise geblockt (bidirektional ?!) Aktion: ggf. Senden von TCP-Reset an die Quelle Transparenter Modus (inline mode), (keine Manipulation des Datenstroms) Erkennung in L2-L7 Erkennung muß exakt und schnell sein, sonst wirdlegaler Traffic blockiert/behindert (funktionaler DoS) Hohe Bandbreite erforderlich (keine/geringe Verzögerungen im Netz) Internet Logging und ggf. Auswertung IPS L2-Bridge Firewall LAN block bei Attacken

3 IPS in der GWDG IPS System von Tippingpoint Gerät: TippingPoint 2400 & 5000E In Betrieb seit 2005 (2400), seit 2011 (5000E) Kombination Hard- & Softwarelösung Signatur, Ereignis, verhaltensbasierte Erkennung Kurzfristige automatische Signaturupdates Verschiedene Eventkategorien (Critical... Minor) Feintuning der Events möglich Aktionen: Block, Inform, Reduce … Ausgereiftes Logging & Reporting (Flatfile (CSV), XML, PDF, HTML, Grafik) Bandbreite GBit/s (transparent), 4 Doppelports (GBit/s)

4 IPS in der GWDG Penetrationstest zur Auswahl des geeigneten IPS Opfersystem: PC mit debian (Knoppix) honeyd, alternativ auch Windows 95/98/XP Angreifer:Laptop mit Windows XP und whoppix(whax) unter VMWARE, sowie Nessus PC (Debian: Knoppix iWhax,Nessus, nmap) Honeypot, Knoppix (mit Honeyd) Bzw. Windows 98 in VMWARE 100MBit/s …

5 IPS in der GWDG Nikto web scan nmap nessus Ping mit Inhalt Stacheldraht Attacke:IPS Logfile Event ID Penetration: kleiner Ausschnitt der Ergebnisse

6 IPS in der GWDG Penetrationstest Fazit: Die meisten provozierten Attacken wurden erkannt Nicht erkannt wurden: - SQL Injection - SSH Attacken (User/Password-Dictionary Attacks).

7 IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports No. 1 ist immer noch SQL-Slammer > 8E6 Events/Woche ( single UDP packet) (Stand 2006!) Einige Attacken konnten nicht erkannt werden, da hinter dem IPS ACLs auf dem Router existierten (Kommunikation hinter IPS wurde geblockt) Viele interne Systeme, die externe Ziele angriffen wurden erkannt (Übereinstimmung mit unseren bisherigen Scripts)

8 IPS in der GWDG Ergebnisse der Testphase: TrafficShaping Tippingpoint erlaubt Bandbreitenbegrenzung für beliebige Events (und Event-Gruppen) In der Testphase haben wir alle Tauschbörsen-Events zusammengefasst und begrenzt (20 MBit/s) Keine Benutzerbeschwerden MBits/s Σ alle Tauschbörsen Events bei Überschreitung d.Limits

9 IPS in der GWDG IPS und False Positive … Schwer zu beurteilen, während der Testphase gab es keinerlei Beschwerden bzgl. Störungen Tests innerhalb der GWDG bestätigten keine falsch positiv Erkennungen (Dennoch werden diese vermutlich existieren) Im Tippingpointsystem können(sollten) die Events angepasst werden (block, inform, reduce …) um Fehlalarme und etwaige Blockaden zu vermeiden (Vorgaben sind aber i.d.R. sinnvoll)

10 IPS in der GWDG IPS ist … Transparent schnell bidirektional - Single Packet Attack (schnelle, lückenlose Reaktion des IPS) - Speichern einer gesamten Attacken (mehrere Pakete, Buffer)

11 IPS in der GWDG Funktionsprinzip: -Signaturbasiert (vgl. AV Scanner) -Filter -aut. Signatur-Updates (ca. alle 2 Tage) -Filter Kategorien Application Protection Infrastucture Protection Perfomance Protection -Eingruppierung der Attacken: Severity: minor major critical -Filter Setting active/disabled nicht alle Filter sind aktiviert recommended settings

12 IPS in der GWDG Reaktion auf Attacken (pro Filter): -Block ( auch Kombinationen möglich Bsp. Reset/Notify ) Notify Reset Blacklist Individual (e.g. 20 Hits/s) -Permit Notify Trace -Trust -Exceptions Trust (FTP Server) -Filter selbst erstellen ? möglich, sehr aufwendig, fehleranfällig -Erkennung von Attacken auch auf none-standard ports möglich, da Layer 7 (Bsp: Tauschbörsen) -SSL/SSH Sessions (stark eingeschränkte Erkennung, nur TCP Header)

13 IPS in der GWDG -Ausfall des IPS ? Layer 2 Fallback path through bei Stromausfall PacketCount vor/hinter dem Interface Fallback bei Packetloss > 0,2 % -SQL-Injection Attacks (Erkennung wurde verbessert) besser sind hier spez. WebApplicationFirewalls -Aktuelle Angriffe: Meist PHP Attacken -Detaillierte Reports möglich (automatisiert, SMS, ) -Report als zus. Dienst für einige Institute installiert (aut. Benachrichtigung über Attacken von- und auf das System)

14 IPS in der GWDG 4 x 1GBit/s (FD) 1 x 10GBit/s 1 x 1GBit/s Internet Studierenden Netz GÖNET 1 x 5GBit/s Tippingpoint 5000E Tippingpoint 2400E Corecontroller Cisco Catalyst (zentr. Router) SMS Server Logging Management Notification Reports …

15 IPS in der GWDG Fazit: Ein IDS/IPS ersetzt keine! Firewall oder Virenscanner Sinnvoller Komplett-Schutz In Kombination mit Firewall, Viren & Spyware Scanner (ggf. ProxyServer) Bildet zweite Verteidigungslinie hinter einer Firewall (Traffic, der nicht zugelassen wird, muß nicht geprüft werden) Durch Verhaltens- und Anomalieerkennung zusätzlicher Schutz innerhalb des Netzwerkes (kann eine Firewall i.d.R. nicht lösen) Kein/Kaum Schutz bei verschlüsselten Verbindungen Einsatz des IPS angesichts der Statistiken der erfolgten Attacken unverzichtbar

16 IPS in der GWDG Live demo …

17 Links: Dieser Vortrag: Vorträge Detaillierte Beschreibung in GWDG Nachrichten 7/2006 & 8/ Nachrichten/gn0607.pdf Nachrichten/gn0608.pdf IPS in der GWDG

18 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL … Fragen Vielen Dank! und Diskussionen! ? ?