Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Ahlf Boos Geändert vor über 10 Jahren
1
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119 gwdg@gwdg.de www.gwdg.de von IPS bei der GWDG (Beispiel: Tippingpoint) Andreas Ißleiber andreas.issleiber@gwdg.de
2
2 IPS in der GWDG Was ist ein IDS ? Intrusion Detection System (IDS) untersucht den Datenverkehr auf etwaige Angriffe und! Abnormalitäten (L2 bis L7) Erkennung durch Signaturen, Verhalten, Last, Heuristik IDS führen selbst keine Aktivitäten bei Attacken aus (bis auf Logging) IDS können Mithören oder Transparent sein (seltener) Bei älteren IDS fehlen Unterscheidungs- kriterien bzgl. Relevanz der Attacken (was ist wichtig, was nicht) Gruppierungen von Ereignissen sind wichtig GWDG betreibt ein IDS System von Enterasys (Dragon): - zu grobe Auswertung - Datenflut: zeitintensive Auswertung - keine Prävention/Aktion Internet Logging und Auswertung IDS Parallele Anbindung zum Router/Switch Transparent L2-Bridge Monitor Port LAN
3
3 IPS in der GWDG Was ist ein IPS ? Traffic wird im Vergleich zum IDS bei Angriffen … Alarmiert, Reduziert, Blockiert, Source IP zeitweise geblockt (alles bidirektional ?!) Aktion: ggf. Senden von TCP-Reset an die Quelle Transparenter Modus (inline mode), keine Änderungen der Daten Erkennung in L2-L7 Erkennung muß genau und schnell sein, sonst wird legaler Traffic blockiert (selbstgebautes DoS) Hohe Bandbreite erforderlich (kein Engpass im Netz) Internet Logging und ggf. Auswertung IPS L2-Bridge Firewall LAN block bei Attacken
4
4 IPS in der GWDG IDSIDSIPSIPS + aktive Abwehr von Angriffen + geringerer administrativer Aufwand - im inline mode: schnelle Erkennung und Reaktion erforderlich Hardware hoher Preis + Einsatz mehrerer Sensoren im Netz - Überwachung des IDS durch Administrator erforderlich - (zu)viele Logging- ingformationen vs.
5
5 IPS in der GWDG IPS/IDS Typen (Pro & Contra) hostbasierte IDS/IPS HIPS(Software auf Endgerät) + geringe Datenmenge + Systemzustand erkennbar, schädlicher Code + Bei false positive nur eigenes System betroffen - ggf. auf OS-Ebene auszuhebeln, da Programm/Dienst - Verwaltung pro Host - eingeschränkte Sicht (nur host) netzbasierte IDS/IPS NIPS(Software o. Appliance zentral) + kann ganzes Segment überwachen/schützen + besserer Schutz bei (D)DoS Attacken + Überblick über gesamtes Netz (Gesamtbild ergibt erst eine Attacke) + sieht auch Attacken auf unbenutzte Adressen + zentrales Management - hohe Bandbreite erforderlich, Latenzen ?
6
6 IPS in der GWDG IPS System von Tippingpoint Gerät: TippingPoint 2400 Kombination Hard- & Softwarelösung Signatur, Ereignis, verhaltensbasierte Erkennung Kurzfristige automatische Signaturupdates Verschiedene Eventkategorien (Critical... Minor) Feintuning der Events möglich Aktionen: Block, Inform, Reduce … Ausgereiftes Logging & Reporting (Flatfile (CSV), XML, PDF, HTML, Grafik) Bandbreite 2-2.4 GBit/s (transparent), 4 Doppelports (GBit/s)
7
7 IPS in der GWDG IPS System von Tippingpoint (3COM) TippingPoint 2400, 2 Wochen im Test bei der GWDG am - WIN Zugang (1GBit/s) - WLAN Übergang (100MBit/s) Internet GÖNET WLAN PC für Penetrationstest (Angreifer) Honeypot, bzw. unsicheres System (Opfer) 1GBit/s 100MBit/s Testaufbau bei der GWDG Tippingpoint SMS SMS: Security Manager System Dell Server mit RedHat Logging, Auswertung, Tracking, db SMS Client
8
8 IPS in der GWDG Penetrationstest Opfer: PC mit debian (Knoppix) honeyd Angreifer:Laptop mit Windows XP und whoppix(whax) unter VMWARE, sowie Nessus PC (Debian: Knoppix iWhax,Nessus, nmap) Honeypot, Knoppix (mit Honeyd) Bzw. Windows 98 in VMWARE 100MBit/s 192.168.1.1 … 192.168.1.30 192.168.10.100
9
9 IPS in der GWDG Nikto web scan nmap nessus Ping mit Inhalt Stacheldraht Attacke:IPS Logfile Event ID Penetration: kleiner Ausschnitt der Ergebnisse
10
10 IPS in der GWDG Penetrationstest Fazit: Die meisten provozierten Attacken wurden erkannt Nicht erkannt wurden: - SQL Injection - SSH Attacken (User/Password-Dictionary Attacks). (Ansich ist ein SSH mit mehr als 5 Usernamen pro Quell- und Zieladresse pro Sekunde eine Attacke)
11
11 IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports No. 1 (immer noch) SQL-Slammer > 8E6 Events/Woche ( single UDP packet) Einige Attacken konnten nicht erkannt werden, da hinter dem IPS ACLs auf dem Router existierten (Kommunikation hinter IPS wurde geblockt) Viele interne Systeme, die externe Ziele angriffen wurden erkannt (Übereinstimmung mit unseren bisherigen Scripts)
12
12 IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports Viele Spyware Verbindungen von Innen nach Aussen wurden erkannt und blockiert Top Ten Attacks während der 10-tägigen Testphase (ohne Slammer) Event ID# HitsOhne SQL Slammer
13
13 IPS in der GWDG Ergebnisse der Testphase: Erkennung & Reports Alternativ auch Syslog in diversen Formaten Oder Zugriff auf MySQL db des SMS 2005-09-29 10:11:24Auth.Critical10.76.10.408;4;"00000002-0002-0002-0002-000000001456";"00000001-0001-0001-0001- 000000001456";"1456: MS-SQL: Slammer-Sapphire Worm";1456;"udp";"220.191.1.165";1125;"134.76.34.76";1434;2;3;3;"IPS";33625931;112798149 2005-09-29 10:11:24Auth.Notice10.76.10.408;1;"5e959504-28f9-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001- 000000003746";"3746: Spyware: CrackSpider Information Transfer";3746;"http";"134.76.76.202";1700;"213.244.183.210";80;1;3;3;"IPS";67570433;1127981499386 2005-09-29 10:11:24Auth.Notice10.76.10.408;1;"6287b1d0-2119-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001- 000000003298";"3298: Spyware: Click Spring/PurityScan Communication";3298;"http";"134.76.3.9";1099;"63.251.135.15";80;1;3;1;"IPS";67570433;1127981501686 2005-09-29 10:11:34Auth.Notice10.76.10.408;1;"5e951fd0-28f9-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001- 000000002965";"2965: Spyware: SaveNow/WhenU Program Download";2965;"http";"134.76.170.87";1056;"212.201.100.135";80;1;3;3;"IPS";67570433;1127981513069 2005-09-29 10:11:34Auth.Critical10.76.10.408;4;"00000002-0002-0002-0002-000000002289";"00000001-0001-0001-0001- 000000002289";"2289: MS-RPC: DCOM ISystemActivator Overflow";2289;"tcp";"134.76.3.62";1388;"134.76.26.232";135;1;3;1;"IPS";16907851;1127981 DCOM I SystemActivator Overflow";2289;"tcp";"134.76.3.62";1388;"134.76.26.232
14
14 IPS in der GWDG Falscher Alarm (False Positive) Schwer zu beurteilen, während der Testphase gab es keinerlei Beschwerden bzgl. Störungen Tests innerhalb der GWDG bestätigten keine falsch positiv Erkennungen (Dennoch werden diese vermutlich existieren) Im Tippingpointsystem können(sollten) die Events angepasst werden (block, inform, reduce …) um Fehlalarme und etwaige Blockaden zu vermeiden (Vorgaben sind aber i.d.R. sinnvoll)
15
15 IPS in der GWDG Ergebnisse der Testphase: TrafficShaping Tippingpoint erlaubt Bandbreitenbegrenzung für beliebige Events (und Event-Gruppen) In der Testphase haben wir alle Tauschbörsen-Events zusammengefasst und begrenzt (20 MBit/s) Auch hier gab es keine Benutzerbeschwerden (…es ist sicherlich schwer, sich wegen schlecht funktionierender Tauschbörsen zu beschweren) MBits/s Σ alle Tauschbörsen Events bei Überschreitung d.Limits
16
16 IPS in der GWDG Tippingpoint Screenshots Dashboard
17
17 IPS in der GWDG Tippingpoint Screenshots
18
18 IPS in der GWDG Tippingpoint Screenshots
19
19 IPS in der GWDG Tippingpoint Screenshots
20
20 IPS in der GWDG … LiveDemo
21
21 IPS in der GWDG Fazit: Ein IDS/IPS ersetzt keine! Firewall oder Virenscanner Sinnvoller Schutz In Kombination mit Firewall, Viren & Spyware Scanner, ProxyServer Bildet zweite Verteidigungslinie hinter einer Firewall (Traffic, der nicht zugelassen wird, muß nicht geprüft werden) Durch Verhaltens- und Anomalieerkennung zusätzlicher Schutz innerhalb des Netzwerkes (kann eine Firewall i.d.R. nicht lösen) Einsatz mehrerer Sensoren (geografisch verteilt) zur Erkennung von Angriffsmustern möglich (i.d.R. bei IDS) IPS auch in Kombination mit IDS einsetzbar !? NID(P)S & HID(P)S in Kombination sinnvoll nutzbar !? (unterschiedliche Hersteller) I.d.R. kein Schutz bei verschlüsselten Verbindungen
22
22 IPS in der GWDG Fazit: GWDG hatte verschiedene System getestet bzw. betrachtet McAfee (Intrushield), CISCO (Mars 1 ), Fortigate (Fortinet), Snort Aufgrund des Vergleiches war Tippingpoint die Wahl GWDG hat System Tippingpoint 2400 gekauft System wird Internetzugang sowie weitere interne Netzbereich absichern Ersatz der selbstgeschriebenen Scripts zur Erkennung abnormalen Verhaltens Spürbarer Mehrgewinn an Sicherheit in Kombination mit weiteren Verfahren 1) Monitoring, Analysis and Response System
23
23 CISCO S YSTEMS CISCOYSTEMS S CISCOSYSTEMS UPPER POWER LOWER POWER NORMAL … Fragen Vielen Dank! und Diskussionen! ? ?
24
24 Url´s Tippingpoint: http://www.tippingpoint.com/http://www.tippingpoint.com/ Snort: http://www.snort.org/http://www.snort.org/ Whoppix: http://www.iwhax.net IPS in der GWDG
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.