Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Veröffentlicht von:Ahlf Boos Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119"—  Präsentation transkript:

1 Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119 gwdg@gwdg.de www.gwdg.de von IPS bei der GWDG (Beispiel: Tippingpoint) Andreas Ißleiber andreas.issleiber@gwdg.de

2 2 IPS in der GWDG Was ist ein IDS ? Intrusion Detection System (IDS) untersucht den Datenverkehr auf etwaige Angriffe und! Abnormalitäten (L2 bis L7) Erkennung durch Signaturen, Verhalten, Last, Heuristik IDS führen selbst keine Aktivitäten bei Attacken aus (bis auf Logging) IDS können Mithören oder Transparent sein (seltener) Bei älteren IDS fehlen Unterscheidungs- kriterien bzgl. Relevanz der Attacken (was ist wichtig, was nicht) Gruppierungen von Ereignissen sind wichtig GWDG betreibt ein IDS System von Enterasys (Dragon): - zu grobe Auswertung - Datenflut: zeitintensive Auswertung - keine Prävention/Aktion Internet Logging und Auswertung IDS Parallele Anbindung zum Router/Switch Transparent L2-Bridge Monitor Port LAN

3 3 IPS in der GWDG Was ist ein IPS ? Traffic wird im Vergleich zum IDS bei Angriffen … Alarmiert, Reduziert, Blockiert, Source IP zeitweise geblockt (alles bidirektional ?!) Aktion: ggf. Senden von TCP-Reset an die Quelle Transparenter Modus (inline mode), keine Änderungen der Daten Erkennung in L2-L7 Erkennung muß genau und schnell sein, sonst wird legaler Traffic blockiert (selbstgebautes DoS) Hohe Bandbreite erforderlich (kein Engpass im Netz) Internet Logging und ggf. Auswertung IPS L2-Bridge Firewall LAN block bei Attacken

4 4 IPS in der GWDG IDSIDSIPSIPS + aktive Abwehr von Angriffen + geringerer administrativer Aufwand - im inline mode: schnelle Erkennung und Reaktion erforderlich Hardware hoher Preis + Einsatz mehrerer Sensoren im Netz - Überwachung des IDS durch Administrator erforderlich - (zu)viele Logging- ingformationen vs.

5 5 IPS in der GWDG IPS/IDS Typen (Pro & Contra) hostbasierte IDS/IPS HIPS(Software auf Endgerät) + geringe Datenmenge + Systemzustand erkennbar, schädlicher Code + Bei false positive nur eigenes System betroffen - ggf. auf OS-Ebene auszuhebeln, da Programm/Dienst - Verwaltung pro Host - eingeschränkte Sicht (nur host) netzbasierte IDS/IPS NIPS(Software o. Appliance zentral) + kann ganzes Segment überwachen/schützen + besserer Schutz bei (D)DoS Attacken + Überblick über gesamtes Netz (Gesamtbild ergibt erst eine Attacke) + sieht auch Attacken auf unbenutzte Adressen + zentrales Management - hohe Bandbreite erforderlich, Latenzen ?

6 6 IPS in der GWDG IPS System von Tippingpoint Gerät: TippingPoint 2400 Kombination Hard- & Softwarelösung Signatur, Ereignis, verhaltensbasierte Erkennung Kurzfristige automatische Signaturupdates Verschiedene Eventkategorien (Critical... Minor) Feintuning der Events möglich Aktionen: Block, Inform, Reduce … Ausgereiftes Logging & Reporting (Flatfile (CSV), XML, PDF, HTML, Grafik) Bandbreite 2-2.4 GBit/s (transparent), 4 Doppelports (GBit/s)

7 7 IPS in der GWDG IPS System von Tippingpoint (3COM) TippingPoint 2400, 2 Wochen im Test bei der GWDG am - WIN Zugang (1GBit/s) - WLAN Übergang (100MBit/s) Internet GÖNET WLAN PC für Penetrationstest (Angreifer) Honeypot, bzw. unsicheres System (Opfer) 1GBit/s 100MBit/s Testaufbau bei der GWDG Tippingpoint SMS SMS: Security Manager System Dell Server mit RedHat Logging, Auswertung, Tracking, db SMS Client

8 8 IPS in der GWDG Penetrationstest Opfer: PC mit debian (Knoppix) honeyd Angreifer:Laptop mit Windows XP und whoppix(whax) unter VMWARE, sowie Nessus PC (Debian: Knoppix iWhax,Nessus, nmap) Honeypot, Knoppix (mit Honeyd) Bzw. Windows 98 in VMWARE 100MBit/s 192.168.1.1 … 192.168.1.30 192.168.10.100

9 9 IPS in der GWDG Nikto web scan nmap nessus Ping mit Inhalt Stacheldraht Attacke:IPS Logfile Event ID Penetration: kleiner Ausschnitt der Ergebnisse

10 10 IPS in der GWDG Penetrationstest Fazit: Die meisten provozierten Attacken wurden erkannt Nicht erkannt wurden: - SQL Injection - SSH Attacken (User/Password-Dictionary Attacks). (Ansich ist ein SSH mit mehr als 5 Usernamen pro Quell- und Zieladresse pro Sekunde eine Attacke)

11 11 IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports No. 1 (immer noch) SQL-Slammer > 8E6 Events/Woche ( single UDP packet) Einige Attacken konnten nicht erkannt werden, da hinter dem IPS ACLs auf dem Router existierten (Kommunikation hinter IPS wurde geblockt) Viele interne Systeme, die externe Ziele angriffen wurden erkannt (Übereinstimmung mit unseren bisherigen Scripts)

12 12 IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports Viele Spyware Verbindungen von Innen nach Aussen wurden erkannt und blockiert Top Ten Attacks während der 10-tägigen Testphase (ohne Slammer) Event ID# HitsOhne SQL Slammer

13 13 IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports Alternativ auch Syslog in diversen Formaten Oder Zugriff auf MySQL db des SMS 2005-09-29 10:11:24Auth.Critical10.76.10.408;4;"00000002-0002-0002-0002-000000001456";"00000001-0001-0001-0001- 000000001456";"1456: MS-SQL: Slammer-Sapphire Worm";1456;"udp";"220.191.1.165";1125;"134.76.34.76";1434;2;3;3;"IPS";33625931;112798149 2005-09-29 10:11:24Auth.Notice10.76.10.408;1;"5e959504-28f9-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001- 000000003746";"3746: Spyware: CrackSpider Information Transfer";3746;"http";"134.76.76.202";1700;"213.244.183.210";80;1;3;3;"IPS";67570433;1127981499386 2005-09-29 10:11:24Auth.Notice10.76.10.408;1;"6287b1d0-2119-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001- 000000003298";"3298: Spyware: Click Spring/PurityScan Communication";3298;"http";"134.76.3.9";1099;"63.251.135.15";80;1;3;1;"IPS";67570433;1127981501686 2005-09-29 10:11:34Auth.Notice10.76.10.408;1;"5e951fd0-28f9-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001- 000000002965";"2965: Spyware: SaveNow/WhenU Program Download";2965;"http";"134.76.170.87";1056;"212.201.100.135";80;1;3;3;"IPS";67570433;1127981513069 2005-09-29 10:11:34Auth.Critical10.76.10.408;4;"00000002-0002-0002-0002-000000002289";"00000001-0001-0001-0001- 000000002289";"2289: MS-RPC: DCOM ISystemActivator Overflow";2289;"tcp";"134.76.3.62";1388;"134.76.26.232";135;1;3;1;"IPS";16907851;1127981 DCOM I SystemActivator Overflow";2289;"tcp";"134.76.3.62";1388;"134.76.26.232

14 14 IPS in der GWDG Falscher Alarm (False Positive) Schwer zu beurteilen, während der Testphase gab es keinerlei Beschwerden bzgl. Störungen Tests innerhalb der GWDG bestätigten keine falsch positiv Erkennungen (Dennoch werden diese vermutlich existieren) Im Tippingpointsystem können(sollten) die Events angepasst werden (block, inform, reduce …) um Fehlalarme und etwaige Blockaden zu vermeiden (Vorgaben sind aber i.d.R. sinnvoll)

15 15 IPS in der GWDG Ergebnisse der Testphase: TrafficShaping Tippingpoint erlaubt Bandbreitenbegrenzung für beliebige Events (und Event-Gruppen) In der Testphase haben wir alle Tauschbörsen-Events zusammengefasst und begrenzt (20 MBit/s) Auch hier gab es keine Benutzerbeschwerden (…es ist sicherlich schwer, sich wegen schlecht funktionierender Tauschbörsen zu beschweren) MBits/s Σ alle Tauschbörsen Events bei Überschreitung d.Limits

16 16 IPS in der GWDG Tippingpoint Screenshots Dashboard

17 17 IPS in der GWDG Tippingpoint Screenshots

18 18 IPS in der GWDG Tippingpoint Screenshots

19 19 IPS in der GWDG Tippingpoint Screenshots

20 20 IPS in der GWDG … LiveDemo

21 21 IPS in der GWDG Fazit: Ein IDS/IPS ersetzt keine! Firewall oder Virenscanner Sinnvoller Schutz In Kombination mit Firewall, Viren & Spyware Scanner, ProxyServer Bildet zweite Verteidigungslinie hinter einer Firewall (Traffic, der nicht zugelassen wird, muß nicht geprüft werden) Durch Verhaltens- und Anomalieerkennung zusätzlicher Schutz innerhalb des Netzwerkes (kann eine Firewall i.d.R. nicht lösen) Einsatz mehrerer Sensoren (geografisch verteilt) zur Erkennung von Angriffsmustern möglich (i.d.R. bei IDS) IPS auch in Kombination mit IDS einsetzbar !? NID(P)S & HID(P)S in Kombination sinnvoll nutzbar !? (unterschiedliche Hersteller) I.d.R. kein Schutz bei verschlüsselten Verbindungen

22 22 IPS in der GWDG Fazit: GWDG hatte verschiedene System getestet bzw. betrachtet McAfee (Intrushield), CISCO (Mars 1 ), Fortigate (Fortinet), Snort Aufgrund des Vergleiches war Tippingpoint die Wahl GWDG hat System Tippingpoint 2400 gekauft System wird Internetzugang sowie weitere interne Netzbereich absichern Ersatz der selbstgeschriebenen Scripts zur Erkennung abnormalen Verhaltens Spürbarer Mehrgewinn an Sicherheit in Kombination mit weiteren Verfahren 1) Monitoring, Analysis and Response System

23 23 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL … Fragen Vielen Dank! und Diskussionen! ? ?

24 24 Url´s Tippingpoint: http://www.tippingpoint.com/http://www.tippingpoint.com/ Snort: http://www.snort.org/http://www.snort.org/ Whoppix: http://www.iwhax.net IPS in der GWDG

Herunterladen ppt "Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119"

Ähnliche Präsentationen

Print-, Fax- und File-Server Lösung für ein Homeoffice

Print-, Fax- und File-Server Lösung für ein Homeoffice
Aufbau eines Netzwerkes

Aufbau eines Netzwerkes
Be.as WEB Technologie 25.03.2017.

Be.as WEB Technologie
Firewallkonzept der GWDG (IK GWDG 10/06)

Firewallkonzept der GWDG (IK GWDG 10/06)
BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation bmb+f GoeMobile:

BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation BMBF-Förderinitiative Einsatz und Nutzung drahtloser Kommunikation bmb+f GoeMobile:
Effizienter Einsatz von IPS in Netzen

Effizienter Einsatz von IPS in Netzen
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias.

Copyright atsec information security, 2006 The information security provider Wireless Intrusion Detection und Prevention Systeme – Ein Überblick Matthias.
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Firewalls.

Firewalls.
Seminar Internet-Dienste

Seminar Internet-Dienste
7.3. Viren, Würmer, Trojaner Mail von der Nachbarin

7.3. Viren, Würmer, Trojaner Mail von der Nachbarin
XLAB Lehrerfortbildung 2011

XLAB Lehrerfortbildung 2011
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, Göttingen Fon: Fax:
Andreas Ißleiber andreas.issleiber@gwdg.de WLAN Andreas Ißleiber andreas.issleiber@gwdg.de.

Andreas Ißleiber WLAN Andreas Ißleiber
Firewallkonzept der GWDG (Einsatz auch für Max-Planck-Institute !?)

Firewallkonzept der GWDG (Einsatz auch für Max-Planck-Institute !?)
VoIP- und Videolösungen bei der GWDG

VoIP- und Videolösungen bei der GWDG

Ähnliche Präsentationen

Google-Anzeigen