Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax: von IPS bei der GWDG (Beispiel: Tippingpoint) Andreas Ißleiber

2 IPS in der GWDG Was ist ein IDS ? Intrusion Detection System (IDS) untersucht den Datenverkehr auf etwaige Angriffe und! Abnormalitäten (L2 bis L7) Erkennung durch Signaturen, Verhalten, Last, Heuristik IDS führen selbst keine Aktivitäten bei Attacken aus (bis auf Logging) IDS können Mithören oder Transparent sein (seltener) Bei älteren IDS fehlen Unterscheidungs- kriterien bzgl. Relevanz der Attacken (was ist wichtig, was nicht) Gruppierungen von Ereignissen sind wichtig GWDG betreibt ein IDS System von Enterasys (Dragon): - zu grobe Auswertung - Datenflut: zeitintensive Auswertung - keine Prävention/Aktion Internet Logging und Auswertung IDS Parallele Anbindung zum Router/Switch Transparent L2-Bridge Monitor Port LAN

3 IPS in der GWDG Was ist ein IPS ? Traffic wird im Vergleich zum IDS bei Angriffen … Alarmiert, Reduziert, Blockiert, Source IP zeitweise geblockt (alles bidirektional ?!) Aktion: ggf. Senden von TCP-Reset an die Quelle Transparenter Modus (inline mode), keine Änderungen der Daten Erkennung in L2-L7 Erkennung muß genau und schnell sein, sonst wird legaler Traffic blockiert (selbstgebautes DoS) Hohe Bandbreite erforderlich (kein Engpass im Netz) Internet Logging und ggf. Auswertung IPS L2-Bridge Firewall LAN block bei Attacken

4 IPS in der GWDG IDSIDSIPSIPS + aktive Abwehr von Angriffen + geringerer administrativer Aufwand - im inline mode: schnelle Erkennung und Reaktion erforderlich Hardware hoher Preis + Einsatz mehrerer Sensoren im Netz - Überwachung des IDS durch Administrator erforderlich - (zu)viele Logging- ingformationen vs.

5 IPS in der GWDG IPS/IDS Typen (Pro & Contra) hostbasierte IDS/IPS HIPS(Software auf Endgerät) + geringe Datenmenge + Systemzustand erkennbar, schädlicher Code + Bei false positive nur eigenes System betroffen - ggf. auf OS-Ebene auszuhebeln, da Programm/Dienst - Verwaltung pro Host - eingeschränkte Sicht (nur host) netzbasierte IDS/IPS NIPS(Software o. Appliance zentral) + kann ganzes Segment überwachen/schützen + besserer Schutz bei (D)DoS Attacken + Überblick über gesamtes Netz (Gesamtbild ergibt erst eine Attacke) + sieht auch Attacken auf unbenutzte Adressen + zentrales Management - hohe Bandbreite erforderlich, Latenzen ?

6 IPS in der GWDG IPS System von Tippingpoint Gerät: TippingPoint 2400 Kombination Hard- & Softwarelösung Signatur, Ereignis, verhaltensbasierte Erkennung Kurzfristige automatische Signaturupdates Verschiedene Eventkategorien (Critical... Minor) Feintuning der Events möglich Aktionen: Block, Inform, Reduce … Ausgereiftes Logging & Reporting (Flatfile (CSV), XML, PDF, HTML, Grafik) Bandbreite GBit/s (transparent), 4 Doppelports (GBit/s)

7 IPS in der GWDG IPS System von Tippingpoint (3COM) TippingPoint 2400, 2 Wochen im Test bei der GWDG am - WIN Zugang (1GBit/s) - WLAN Übergang (100MBit/s) Internet GÖNET WLAN PC für Penetrationstest (Angreifer) Honeypot, bzw. unsicheres System (Opfer) 1GBit/s 100MBit/s Testaufbau bei der GWDG Tippingpoint SMS SMS: Security Manager System Dell Server mit RedHat Logging, Auswertung, Tracking, db SMS Client

8 IPS in der GWDG Penetrationstest Opfer: PC mit debian (Knoppix) honeyd Angreifer:Laptop mit Windows XP und whoppix(whax) unter VMWARE, sowie Nessus PC (Debian: Knoppix iWhax,Nessus, nmap) Honeypot, Knoppix (mit Honeyd) Bzw. Windows 98 in VMWARE 100MBit/s …

9 IPS in der GWDG Nikto web scan nmap nessus Ping mit Inhalt Stacheldraht Attacke:IPS Logfile Event ID Penetration: kleiner Ausschnitt der Ergebnisse

10 IPS in der GWDG Penetrationstest Fazit: Die meisten provozierten Attacken wurden erkannt Nicht erkannt wurden: - SQL Injection - SSH Attacken (User/Password-Dictionary Attacks). (Ansich ist ein SSH mit mehr als 5 Usernamen pro Quell- und Zieladresse pro Sekunde eine Attacke)

11 IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports No. 1 (immer noch) SQL-Slammer > 8E6 Events/Woche ( single UDP packet) Einige Attacken konnten nicht erkannt werden, da hinter dem IPS ACLs auf dem Router existierten (Kommunikation hinter IPS wurde geblockt) Viele interne Systeme, die externe Ziele angriffen wurden erkannt (Übereinstimmung mit unseren bisherigen Scripts)

12 IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports Viele Spyware Verbindungen von Innen nach Aussen wurden erkannt und blockiert Top Ten Attacks während der 10-tägigen Testphase (ohne Slammer) Event ID# HitsOhne SQL Slammer

13 IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports Alternativ auch Syslog in diversen Formaten Oder Zugriff auf MySQL db des SMS :11:24Auth.Critical ;4;" ";" ";"1456: MS-SQL: Slammer-Sapphire Worm";1456;"udp";" ";1125;" ";1434;2;3;3;"IPS"; ; :11:24Auth.Notice ;1;"5e f9-11da-41c4-9ef6bcf14fa9";" ";"3746: Spyware: CrackSpider Information Transfer";3746;"http";" ";1700;" ";80;1;3;3;"IPS"; ; :11:24Auth.Notice ;1;"6287b1d da-41c4-9ef6bcf14fa9";" ";"3298: Spyware: Click Spring/PurityScan Communication";3298;"http";" ";1099;" ";80;1;3;1;"IPS"; ; :11:34Auth.Notice ;1;"5e951fd0-28f9-11da-41c4-9ef6bcf14fa9";" ";"2965: Spyware: SaveNow/WhenU Program Download";2965;"http";" ";1056;" ";80;1;3;3;"IPS"; ; :11:34Auth.Critical ;4;" ";" ";"2289: MS-RPC: DCOM ISystemActivator Overflow";2289;"tcp";" ";1388;" ";135;1;3;1;"IPS"; ; DCOM I SystemActivator Overflow";2289;"tcp";" ";1388;"

14 IPS in der GWDG Falscher Alarm (False Positive) Schwer zu beurteilen, während der Testphase gab es keinerlei Beschwerden bzgl. Störungen Tests innerhalb der GWDG bestätigten keine falsch positiv Erkennungen (Dennoch werden diese vermutlich existieren) Im Tippingpointsystem können(sollten) die Events angepasst werden (block, inform, reduce …) um Fehlalarme und etwaige Blockaden zu vermeiden (Vorgaben sind aber i.d.R. sinnvoll)

15 IPS in der GWDG Ergebnisse der Testphase: TrafficShaping Tippingpoint erlaubt Bandbreitenbegrenzung für beliebige Events (und Event-Gruppen) In der Testphase haben wir alle Tauschbörsen-Events zusammengefasst und begrenzt (20 MBit/s) Auch hier gab es keine Benutzerbeschwerden (…es ist sicherlich schwer, sich wegen schlecht funktionierender Tauschbörsen zu beschweren) MBits/s Σ alle Tauschbörsen Events bei Überschreitung d.Limits

16 IPS in der GWDG Tippingpoint Screenshots Dashboard

17 IPS in der GWDG Tippingpoint Screenshots

18 IPS in der GWDG Tippingpoint Screenshots

19 IPS in der GWDG Tippingpoint Screenshots

20 IPS in der GWDG … LiveDemo

21 IPS in der GWDG Fazit: Ein IDS/IPS ersetzt keine! Firewall oder Virenscanner Sinnvoller Schutz In Kombination mit Firewall, Viren & Spyware Scanner, ProxyServer Bildet zweite Verteidigungslinie hinter einer Firewall (Traffic, der nicht zugelassen wird, muß nicht geprüft werden) Durch Verhaltens- und Anomalieerkennung zusätzlicher Schutz innerhalb des Netzwerkes (kann eine Firewall i.d.R. nicht lösen) Einsatz mehrerer Sensoren (geografisch verteilt) zur Erkennung von Angriffsmustern möglich (i.d.R. bei IDS) IPS auch in Kombination mit IDS einsetzbar !? NID(P)S & HID(P)S in Kombination sinnvoll nutzbar !? (unterschiedliche Hersteller) I.d.R. kein Schutz bei verschlüsselten Verbindungen

22 IPS in der GWDG Fazit: GWDG hatte verschiedene System getestet bzw. betrachtet McAfee (Intrushield), CISCO (Mars 1 ), Fortigate (Fortinet), Snort Aufgrund des Vergleiches war Tippingpoint die Wahl GWDG hat System Tippingpoint 2400 gekauft System wird Internetzugang sowie weitere interne Netzbereich absichern Ersatz der selbstgeschriebenen Scripts zur Erkennung abnormalen Verhaltens Spürbarer Mehrgewinn an Sicherheit in Kombination mit weiteren Verfahren 1) Monitoring, Analysis and Response System

23 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL … Fragen Vielen Dank! und Diskussionen! ? ?

24 Url´s Tippingpoint: Snort: Whoppix: IPS in der GWDG