Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Transkript

1 Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit

2 IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen Protokoll-Analyse / Abweichungen Abweichungen von statistischen Normalen

3 Was ist Intrusion Detection? Yntrusion Detection = Technik Know-How Organisation Hardware Software IT-Organisation und Struktur Technik Know-How Benutzung des IDS Wissen über Netze, Systeme und Applikationen Betriebskonzepte Eskalationsprozeduren Organisation Hacking-Techniken

4 Klassische IDS / IPS Verfahren im Netz Vergleiche mit Liste P80,*..%c19c..* P80,..phf* P25,*debug PXY*-l -froot PZ, PW,h%(67t IP TCP UDP ICMP FTP HTTP SMTP Vergleiche mit Liste P21,*RETR457 Vergleiche P21, *5uuuu mit Liste P25,*debug P25, *578&%$

5 mögliche Positionen von Netz-IDS Internet Externer Verkehr vor der Firewall Mehr als Events / Tag Verkehr im Backbone Hohe Bandbreiten Kritische Segmente Vertrieb Finanzen wichtige Server Warum nur Detection?

6 wichtige Player 1995 Wheel Group 1996 NFR 1997 ISS Realsecure Axent Netprowler, ITA 1997 Cisco Netranger 1999 Intrusion 1999 Dragon 1998/99 Snort Network Ice Symantec 2001 Recourse Intruvert eentercept Okena Stormwatch SANA? Enterasys (Cabletron) 2000 Sourcefire, Genua, Varisys,... OneSecure Und viele weitere neue Player Forescout 2002 NAI 2003 Netscreen

7 Probleme von IDS IDS Produkte liefern Ungenaue Daten Sehr viele davon Und auch viele falsch positive Daten IDS ist eine Überwachungsfunktion die Manpower benötigt Möglichst ständig Zur Analyse zweifelhafter Events Anspruchsvolle Tätigkeit

8 Netzwerk IDS mit IPS Erweiterungen Internet Please Block IDS Sensor Kill Inline IDS Sensor App. Server Web- Server Block Was kann Ebene überhaupt geblockt werden? Performance Falsch Pos.

9 Einordnung: Netz IDS mit IPS Erweiterungen Policy Analyse Policy-Basierte Filter auf Netzwerkebene (IP-Adressen, Ports) Schwäche: Hostbased Security Analytische Mechanismen Viren-Patterns In Dateien bei SMTP, FTP und HTTP Traffic Patterns von bekannten Exploits auf Netz-Ebene IDS Lücke: Angriffe auf Netzwerkebene Ohne bekannte Muster Sehr gut erkennbare Viren / Trojaner Wenig Erkennung Neuer Viren / Würmer Eindeutig erkennbare Angriffe Unsichere Erkennung, Falsch-Positive Lücke: Angriffe auf Anwendungsebene z.b. in HTTP sind nur mit Kenntnis und Status der Applikationslogik erkennbar / verhinderbar

10 Einordnung: Netz IDS mit IPS Erweiterungen Policy Analyse Policy-Basierte Filter auf Netzwerkebene (IP-Adressen, Ports) Schwäche: Hostbased Security Analytische Mechanismen Viren-Patterns In Dateien bei SMTP, FTP und HTTP Traffic Patterns von bekannten Exploits auf Netz-Ebene IDS Lücke: Angriffe auf Netzwerkebene Ohne bekannte Muster Lücke: Angriffe auf Anwendungsebene z.b. in HTTP sind nur mit Kenntnis und Status der Applikationslogik erkennbar / verhinderbar Sehr gut Offensichtliche erkennbare Viren / Trojaner Reaktions- Wenig Möglichkeit Erkennung! Neuer Viren / Würmer Eindeutig erkennbare Angriffe Unsichere Erkennung, Falsch-Positive Hoher Aufwand für Überwachung und Entscheidungs- Findung

11 Übliches schlechtes IDS Tuning Policy Policy-Basierte Filter auf Netzwerkebene (IP-Adressen, Ports) Schwäche: Hostbased Security Analyse Analytische Mechanismen Viren-Patterns In Dateien bei SMTP, FTP und HTTP Traffic Patterns von bekannten Exploits auf Netz-Ebene IDS Lücke: Angriffe auf Netzwerkebene Ohne bekannte Muster Lücke: Angriffe auf Anwendungsebene z.b. in HTTP sind nur mit Kenntnis und Status der Applikationslogik erkennbar / verhinderbar Abschalten der Signaturen, die keine eindeutige Erkennung liefern. Anspruchsvollere Angriffe werden nicht Sehr mehr gut erkennbare erkannt Viren / Trojaner Wenig Erkennung Neuer Viren / Würmer Eindeutig erkennbare Angriffe Unsichere Erkennung, Falsch-Positive

12 Konsequenzen Policy Analyse Policy-Basierte Filter auf Netzwerkebene (IP-Adressen, Ports) Schwäche: Hostbased Security Analytische Mechanismen Viren-Patterns In Dateien bei SMTP, FTP und HTTP Traffic Patterns von bekannten Exploits auf Netz-Ebene IPS IDS Lücke: Angriffe auf Netzwerkebene Ohne bekannte Muster Sehr gut erkennbare Viren / Trojaner Wenig Erkennung Neuer Viren / Würmer Eindeutig erkennbare Angriffe Nicht eindeutig erkennbare IDS Muster Lücke: Angriffe auf Anwendungsebene z.b. in HTTP sind nur mit Kenntnis und Status der Applikationslogik erkennbar / verhinderbar

13 Beispiele für moderne Intrusion Prevention Systeme

14 Network Based IPS vor der Firewall Ziel: Angriffe erkennen und verhindern Möglichst früh Problem: gigantische Datenmengen Zu viele Fehl-Alarme DoS Gefahr Ansatz nicht geeignet IDS/IPS IDS Sensor Internet LAN

15 Network Based IPS vor der Firewall Erkennung der Intention eines Angreifers Ohne Falsch-Alarme Reaktion möglich Probe / Angriff Verwundbarkeit Scan Scout Hab Dich! Internet LAN

16 Forescout IPS Hat keine Fehlalarme Ist unabhängig von neuen Angriffstechniken Verhalten des Angreifers Schutz vor neuen Würmern Verwundbarkeitsfenster 0 Zeit zwischen neuer Verwundbarkeit und Update Geringe Folgekosten Keine ständige Überwachung nötig Gutes Feedback Sinnvolle Auswertungen möglich

17 Web Applikations IPS Dynamisches Lernen von URLs Verfolgen jeder Benutzersession Analyse der abgefragten HTML-Seiten Extraktion aller möglichen Links Session 1357 Links: /products/index.html /services/index.html /cgi/feedback.pl Session 1357 Links: /services/s1.html /products/index.html /services/s2.html /services/index.html /services/xy.html /cgi/feedback.pl Anwender GET / GET / Startseite: Seite: /services/index.html /start.html Startseite: /start.html Cookie: Session 1357 Seite: /services/index.html HTTP- GET /services/index.html /msadc/msadcs.dll Filter GET /services/index.html Web- Server

18 Alternatives Web IPS: Application IDS/IPS Browser Internet HTTP URLs Eingaben Cookies Web- App SQL Benutzer Kommandos Tabellen Objekte App. / DB LAN IDS Sensor IDS Sensor Mgnt

19 Intrusion Prevention im Überblick Erfundene Systeme mit Verwundbarkeiten Was will der Client? H8934: 25 Deb*% 80 Res&&er 80??.php-ex 80 *phf:80 Src?=dst ip Bekanntes Angriffs- Muster? Semantische Integrität und erlaubte Operationen auf Daten Browser Semantische Integrität der URLs, Eingaben, Sessions Session-Tabellen Dynamisches Lernen der URLs und Wertebereiche Web- Server Verhalten der Applikationen (Kernel Calls, Ressourcen) 1: Erlaube XYZ 2: Verbiete jiofr 3: guifewhfewj App. / DB Internet LAN

20 Wird IPS die Nachfolge von IDS? Manchmal, beispielsweise auf dem Host Aber nicht immer und in allen Bereichen! Monitoring und Erkennung hat auch ohne aktiven Eingriff seinen Sinn IPS wird nie 100% verhindern Unsicherheiten und Grenzfälle Defense in Depth Kritische Umgebungen

21 Welches IDS / IPS ist das richtige? Der Markt ist im Umbruch und bietet viele neue Ideen Mit einem einfachen Feature / Performance Vergleich ist nichts gewonnen Viele Aspekte zu berücksichtigen Technologie / Grundprinzipien Ziel und Anwendungsbereich Sehr viel Organisation Fokus auf individuellem Konzept