Entwicklung von Angriffskomplexität und Angriffsziele Integrationsgrenzen heutiger IDS SNMPv3 IDS Modell der IETF

Größe: px

Ab Seite anzeigen:

Download "Entwicklung von Angriffskomplexität und Angriffsziele Integrationsgrenzen heutiger IDS SNMPv3 IDS Modell der IETF"

Adrian Pohl
vor 8 Jahren
Abrufe

1 Ein einheitliches Austauschformat zum Parametrisieren verschiedener IDS Björn-C. Bösch

2 Agenda Entwicklung von Angriffskomplexität und Angriffsziele Integrationsgrenzen heutiger IDS SNMPv3 IDS Modell der IETF Integrationsmodule Formatstruktur und Snort Beispiel Vorteile und Nutzen standardisierter Parametrisierung Fazit & Zusammenfassung Björn-C. Bösch : GUUG FFG 2012 München 2

Integrationsmodule Formatstruktur und Snort Beispiel Vorteile und Nutzen

3 Angriffskomplexität Industrial facilities High Intruder Knowledge Low Network Management Diagnostics Disabling Audits Back Doors Sweepers Self-Replicating Code Password Guessing Malicious Code Morphing Stealth /Advanced Scanning Techniques Denial of Service Sniffers Hijacking Sessions Exploiting Known Vulnerabilities Password Cracking Web Attacks Automated Probes/Scans GUI Packet Spoofing Intruders BOTS Zombies Distributed Attack Tools Attack Sophistication Sources: Carnegie Mellon University, 2002 and Idaho National Laboratory, 2005 Quelle: impact.asu.edu/cse494sp09/securitybasics.ppt Björn-C. Bösch: GUUG FFG 2012 München 3

Web Attacks Automated Probes/Scans GUI Packet Spoofing Intruders BOTS Zombies Distributed Attack Tools Attack Sophistication 1980 1985 1990 1995 2000 2005 2010 Sources:

4 Aktuelle IDS Integrationen reduzierte Erkennung Björn-C. Bösch: GUUG FFG 2012 München 4

5 Aktuelle IDS Integrationen reduzierte Abdeckung Björn-C. Bösch: GUUG FFG 2012 München 5

6 Aktuelle IDS Integrationen volle Abdeckung Björn-C. Bösch: GUUG FFG 2012 München 6

7 Nachteil heutiger IDS Aktuelle IDS Integration haben folgende Nachteile: Oft mehrere spezialisierte IDS im Einsatz Ein Management-System pro IDS Schulungsaufwand steigt mit jedem IDS Individuelle Update-Mechanismen der IDS IDS agieren unabhängig nebeneinander => kein Informationsaustausch => keine durchgängige Security Policy, Keine sanfte Migration bei Wechsel eines IDS möglich Björn-C. Bösch: GUUG FFG 2012 München 7

der IDS IDS agieren unabhängig nebeneinander => kein Informationsaustausch => keine durchgängige Security

8 Kernfrage Ist es möglich unterschiedliche IDS mit einem zentralen und einheitlichen Management- System zu verwalten? Björn-C. Bösch: GUUG FFG 2012 München 8

9 Aktuelle Management-Protokolle Warum nicht SNMPv3? SNMP: ist statuslos und schwer kontrollierbar. schützt die Integrität und Vertraulichkeit mit 3DES, welches anfällig für kryptoanalytische Methoden ist. erfordert auf dem Management-System zusätzliche Informationen zum interpretieren der Daten. Ist nicht in der Lage größere Dateien zu übertragen Björn-C. Bösch: GUUG FFG 2012 München 9

10 IETF IDS Modell Björn-C. Bösch: GUUG FFG 2012 München 10

11 IETF IDS Modell II Björn-C. Bösch: GUUG FFG 2012 München 11

12 Regelkreise im IDS Modell Björn-C. Bösch: GUUG FFG 2012 München 12

13 Integrationsmodule Björn-C. Bösch: GUUG FFG 2012 München 13

14 Formatstruktur Björn-C. Bösch: GUUG FFG 2012 München 14

15 Beispiel Snort Regel alert tcp $EXTERNAL_NET any -> (msg:"smtp expn cybercop attempt"; flow:to_server,established; content:"expn cybercop"; reference:arachnids,371; classtype:protocol-command-decode; sid:632; rev:5;) Björn-C. Bösch: GUUG FFG 2012 München 15

16 Beispiel Snort Rule in IDPEF <IDPEF-Message> <alert> <event enable="yes" displayedas="smtp expn cybercop attempt" name="632_5" origin="arachnids,371" serverity="protocol-command-decode" > </event> </alert> <ipara value="any" name="source" enable="yes"/> <ipara value="alert" name="ruleaction" enable="yes"/> <ipara value="->" name="direction" enable="yes"/> <ipara value=" " name="destination" enable="yes"/> </IDPEF-Message> Björn-C. Bösch: GUUG FFG 2012 München 16

name="source" enable="yes"/> <ipara value="alert" name="ruleaction" enable="yes"/> <ipara value="->" name="direction"

17 Künftige IDS Integrationen Björn-C. Bösch: GUUG FFG 2012 München 17

18 Vorteile und Nutzen Im Rahmen der Integration wurde festgestellt: Verwalten aller IDS mit einem Managementsystem. Nur eine Hardware und Applikation erforderlich. Eine einheitliche Bedienoberfläche für alle IDS. Eine zentrale Instanz zum Einspielen und Verteilen von Updates. Abgleich von Security Policies einzelner IDS per Logik Björn-C. Bösch: GUUG FFG 2012 München 18

Eine einheitliche Bedienoberfläche für alle IDS.

19 Zusammenfassung IDS sind über standardisierte Formate parametrisierbar. IDS Parameter lassen sich auf eine Grundstruktur zurückführen. Mit einem zentralen Management-System sind alle IDS zu verwalten. Updates werden durch das zentrale Management- System an die Analyzer verteilt. Abgleich von Security Policies einzelner IDS per Logik. Unabhängige Entwicklungen von Management-System und IDS Björn-C. Bösch: GUUG FFG 2012 München 19

Mit einem zentralen Management-System sind alle IDS zu verwalten.

20 Vielen Dank für Ihre Aufmerksamkeit! Björn-C. Bösch: GUUG FFG 2012 München 20

21 Fragen? Björn-C. Bösch: GUUG FFG 2012 München 21

Ähnliche Dokumente

Reale Angriffsszenarien - Überblick

IT-Sicherheit heute - Angriffe, Schutzmechanismen, Umsetzung Reale Angriffsszenarien - Überblick kai.jendrian@secorvo.de Security Consulting GmbH, Karlsruhe Seite 1 Inhalt Praxisprobleme Aktuelle Angriffsmethoden