Die Ezienz von Security Monitoring und Log Management

Transkript

1 Testbericht Die Ezienz von Security Monitoring und Log Management IT-Systeme und -Dienste unter Beschuss Rukhsar Khan 3. Oktober 2012 Herausgeber: AIRNET Technologie- und Bildungszentrum GmbH Copyright c Alle Rechte vorbehalten. info@airnet.de Internet Facebook

2

3 Lektorat: Marlis Bauer Typographie, Satz und Layout: Rukhsar Khan Umschlaggestaltung: Jürgen Salzmann Wichtiger Hinweis Alle Angaben in diesem Testbericht wurden vom Autor mit gröÿter Sorgfalt erarbeitet bzw. zusammengestellt und unter Einschaltung wirksamer Kontrollmaÿnahmen reproduziert. Trotzdem sind Fehler nicht ganz auszuschlieÿen. Der Herausgeber sowie der Autor sehen sich deshalb gezwungen, darauf hinzuweisen, daÿ sie weder eine Garantie noch die juristische Verantwortung oder irgendeine Haftung für Folgen, die auf fehlerhafte Angaben zurückgehen, übernehmen können. Für die Mitteilung etwaiger Fehler sind der Herausgeber und der Autor jederzeit dankbar. Internet-Adressen, Versionsund Revisionsstände stellen den bei Redaktionsschluss verfügbaren Informationsstand dar. Der Herausgeber und der Autor übernehmen keinerlei Verantwortung oder Haftung für Veränderungen, die sich aus nicht von ihnen zu vertretenden Umständen ergeben. Auch möchten wir darauf hinweisen, dass dieses Buch nicht unter Berücksichtigung des Datenschutzes geschrieben wurde. Es wird aufgezeigt, welche Möglichkeiten die SIEM Software von Sensage bietet, um verdächtiges Verhalten, insbesondere wenn es in groÿen Datenmengen vergraben ist, aufzudecken. Es ist durchaus möglich, dass manche unserer Ergebnisse gegen datenschutzrechtliche Bestimmungen verstoÿen. Sollten Sie diese Software in Ihrem Netzwerk einsetzen, müssen Sie selbst dafür sorgen, die Bestimmungen des Datenschutzes zu beachten. Der Herausgeber sowie der Autor übernehmen keinerlei Verantwortung oder Haftung für Folgen, die sich aus nicht-beachtung von datenschutzrechtlichen Bestimmungen ergeben. Weiterhin werden in dieser Publikation Angristools eingesetzt, deren Besitz unter Umständen strafrechtliche Folgen mit sich bringt. Insbesondere können bei falschem Einsatz dieser Tools groÿe Schäden, sowohl im eigenen Netzwerk als auch in fremden Netzwerken entstehen. Wir weisen ausdrücklich darauf hin, dass wir durch diese Publikation nicht die Intention verfolgen, den Einsatz dieser Tools zu fördern, sondern diese lediglich dafür einsetzen, um die Ergebnisse auf den Verteidigungskomponenten (SIEM, Firewalls, Intrusion Detection und Prevention,...) zu zeigen, damit Ihnen die daraus gewonnenen Erkenntnisse zur Verbesserung Ihrer IT-Sicherheit dienen. Der Herausgeber sowie der Autor übernehmen keinerlei Verantwortung oder Haftung für Folgen, die sich aus dem Einsatz dieser Angristools ergeben. ISBN Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, vorbehalten. In diesem Testbericht werden eingetragene Warenzeichen, Handelsnamen und Gebrauchsnamen verwendet. Auch wenn diese nicht als solche gekennzeichnet sind, gelten die entsprechenden Schutzbestimmungen. c 2012, Airnet Technologie- und Bildungszentrum GmbH iii

4 iv c 2012, Airnet Technologie- und Bildungszentrum GmbH

5 Über den Autor Rukhsar Khan, Gründer des Unternehmens AIRNET und CEO, entdeckte bereits in sehr jungen Jahren seine Anität zu allem, was mit IT zu tun hat eine Passion, die ihn bis heute nicht mehr losgelassen hat. Nachdem er sich als anerkannter technischer Projektleiter im Bereich Netzwerktechnik in verschiedenen Unternehmen einen Namen gemacht hatte, nutzte er sein breitgefächertes Wissen, um sich auch als Spezialist für IT-Security zu prolieren. Insbesondere diese hohe Spezialisierung veranlasste Rukhsar Khan dazu, sich selbständig zu machen und fortan seine gefragten Beratungs- und Trainingsdienstleistungen erfolgreich unter eigener AIRNET-Flagge anzubieten. Mittlerweile hat er neun deutschsprachige Lehrbücher zu allen aktuellen Themen rund um Netzwerktechnik und IT-Security, insbesondere bezogen auf Cisco Komponenten, geschrieben. Best Seller sind u.a. Netzwerktechnik Band 1 und 2, die hervorragend zur Vorbereitung auf die CCNA Zertizierung von Cisco geeignet und auch als e-learning Module als Teil eines Blended Learning Konzepts erhältlich sind. Darüber hinaus agiert Rukhsar Khan als erfolgreicher Trainer nicht nur für seine selbst konzipierten Kurse, sondern auch als beratender Trainer oder trainierender Berater in groÿen Security-Projekten bei Unternehmen und Behörden jeder Gröÿe und ist gern gesehener Referent bei den wichtigsten Fachveranstaltungen der Branche. Seine Tätigkeit als Autor erhält im Jahr 2012 eine neue Dimension. Vor dem Hintergrund der Partnerschaft der AIRNET mit dem amerikanischen Unternehmen SEN- SAGE, das ein hochskalierbares, modulares SIEM (Security Information and Event Management) Überwachungssystem entwickelt hat, wird er in Kürze ein detailliertes Fachbuch unter der Bezeichnung Globale Wirtschaft und Exekutive im Fadenkreuz des Cybercrime hochintelligente Sicherheitssysteme als wirksamer Schutz vor der unsichtbaren Bedrohung veröentlichen. Das genannte Buch ist die Fortsetzung bzw. Vertiefung dieses Testberichts. Eine besonders auÿergewöhnliche, unmittelbar vor der Veröentlichung stehende Publikation ist der Vergleich zwischen physischer Kriminalität und IT Security unter dem Titel Was IT-Security und Kindesentführung gemeinsam haben, in dem Rukhsar Khan Bedrohungssituationen in der IT-Security mit der wahren Geschichte der Entführung seiner beiden kleinen Söhne nach Pakistan gegenüberstellt und zu v

6 erstaunlichen Schlüssen kommt. Diese dramatische Geschichte aus seinem Leben, die als Gipfel jener interkulturellen Spannungsfelder zu sehen ist, in denen sich Rukhsar Khan seit früher Jugend bewegte, ist Anlass für die Veröentlichung eines Roman unter der Bezeichnung Im Namen der Mutterliebe (Erscheinungsdatum ), der die Geschehnisse der Kindesentführung durch die Mutter zum Mittelpunkt hat. vi c 2012, Airnet Technologie- und Bildungszentrum GmbH

7 Vorwort Dieser Testbericht zeigt auf, wie verdächtige Ereignisse (Suspicious Events), insbesondere, wenn sie in groÿen Datenmengen (Big Data) vergraben sind, durch den konsequenten und ezienten Einsatz von Security Monitoring und Log Management aufgedeckt werden können. Ohne den Einsatz einer solchen Lösung bleiben bösartige Aktivitäten (Malicious Activities) in einem Netzwerk meistens unbemerkt. Immer wieder wird deutlich, dass die eigentliche Schwierigkeit heute nicht in der Eliminierung von Schadsoftware liegt, sondern eher darin, diese überhaupt zu entdecken. So habe ich im Laufe der letzten Zeit folgende Aussagen aus dem Classifed-Bereich gesammelt: 1. Es ist keine Seltenheit, dass auf Rechnern von Geheimdiensten Trojaner ein halbes Jahr lang unbemerkt bleiben. 2. Rootkits werden heute von Hackern unbemerkt im Flash-Speicher von Grakkarten abgelegt. Eine Neuinstallation des Betriebssystems wirkt sich nicht auf das Rootkit aus. 3. Virenscanner werden gerne und oft missbraucht, um die Kontrolle über Systeme zu übernehmen. So schreibt das US-amerikanische Department of Defense in seinem Bericht Department of Defense Strategy for Operating in Cyberspace (July 2011): We recognize that there may be malicious activities on DoD networks and systems that we have not yet detected. Dies sind nur ein paar wenige Beispiele, aus denen die Wichtigkeit und Notwendigkeit von Security Monitoring und Log Management, d.h. einer konsequenten IT-Sicherheitsüberwachung, klar hervorgeht. Mit Security Monitoring meine ich in dieser Publikation das proaktive Überwachen von verdächtigen Sicherheitsereignissen mit einer Real-Time- Komponente. Log Management bedeutet die reaktive Recherche von Sicherheitsereignissen in der Log-Datenbank. Weiterhin behandle ich die Begrie Security Monitoring/Log Management, Überwachungssystem und Security Information and Event Management (SIEM)-System synonym zueinander. Ein Überwachungssystem stellt zwar eine wesentliche Komponente in einem Sicherheitssystem dar, jedoch muss es mit Sicherheitsintelligenz (Security Intelligence) und Sicherheitsfeatures von Firewalls, Intrusion Detection and Prevention (IDP)-Systemen, Anti Virus (AV)-Systemen und vielen weiteren Methoden gefüttert werden. vii

8 Aufbauend auf diese Informationen und begleitet durch eine eigene Security Intelligence steht dem Security Analyst durch ein SIEM-System eine moderne Überwachungskomponente zur Verfügung. Aufgrund unserer strategischen Partnerschaft mit dem amerikanischen SIEM-Hersteller Sensage ( zeige ich in diesem Testbericht alle Facetten der Sicherheitsüberwachung auf einem Sensage-System. Der Bereich Firewalls, IDP- und AV-Systeme bezieht sich auf Produkte der Hersteller Cisco Systems und Juniper Networks, auf die wir seit Jahren durch das Trainings- und Projektgeschäft spezialisiert sind. Um die Sicherheitsintelligenz bereitzustellen, greife ich insbesondere durch den Einsatz von IDP- und AV-Systemen auf Signatur-basierte Lösungen zurück. Diese Lösungen allein sind allerdings nicht ausreichend, um verdächtiges Verhalten aufzuspüren. Daher kombiniere ich sie mit heuristischen Methoden auf Grundlage eines pragmatischen Ansatzes. Ich wünsche Ihnen viel Spaÿ beim Lesen dieser Publikation! Rukhsar Khan Airnet Technologie- und Bildungszentrum GmbH September 2012 viii c 2012, Airnet Technologie- und Bildungszentrum GmbH

9 Danksagung Besonders bedanken möchte ich mich bei meinem Kollegen Torsten Wensel, der maÿgeblich zur Entstehung des vorliegenden Testberichtes beigetragen hat. Während der gesamten Testdauer stand er mir, insbesondere beim unerwarteten Auftreten komplexer Probleme und Fragestellungen, mit seiner enormen Expertise zu jeder Tages- und Nachtzeit mit Rat und Tat zur Seite. Über Torsten Wensel Torsten Wensel, Jahrgang 1961, bleibt nach seinem Chemiestudium zunächst an der Johann-Wolfgang-Goethe-Universität in Frankfurt am Main, wo die Novell Administration sowie die Entwicklung und Optimierung von Simulationssoftware zur Entwicklung von Klimaveränderungen zu seinem Aufgabengebiet gehören. Nach langjähriger Mitarbeit bei der ITC Deutschland GmbH wagt er 2005 den Sprung in die Selbständigkeit, wo er sich rasch einen ausgezeichneten Ruf als Consultant und Trainer für diverse Hersteller von Netzwerkkomponenten und als VMware Certied Instructor erwirbt. Die Themenschwerpunkte Datennetze, IP, MPLS, L2, L3, BGP- Konzepte für ISPs sowie Planungsunterstützung und Performance-Analysen im LTE- Ausbau zählen ebenso zu seinem Portfolio wie Security-Audits und Penetration-Tests. Im Bereich IP-Telefonie Lösungen beschäftigt er sich mit der Beratung, Migrations- Unterstützung, Entstörung und Bereitstellung technischer und organisatorischer Betriebskonzepte. Des Weiteren ist Torsten Wensel ein anerkannter Spezialist zum Thema Virtualisierungstechnik mit vsphere5 und Desktop-Virtualisierung. In der Partnerschaft mit AIRNET Information Security Services GmbH fungiert er als technischer Ansprechpartner für den Bereich Data Log Management für die Sensage Produkte. ix

10 x c 2012, Airnet Technologie- und Bildungszentrum GmbH

11 Inhaltsverzeichnis 1 Beschreibung der Testumgebung Laboraufbau Betriebssystem-Distributionen und -Versionen Ausschnitte von Gerätekongurationen Aufzählung der verwendeten Angristools Festlegung der einzelnen Testphasen Phase 1 Reconnaissance und DOS Attacken Phase 2 Access Attacke Die Sicherheitsüberwachung Real-Time Engine Reporting Engine Compliance Reporting Reconnaissance und DOS Attacken Der Angri Verteidigung und Überwachung Angris- und Verteidigungsergebnisse Access Attacken Der Angri Verteidigung und Überwachung Angris- und Verteidigungsergebnisse Zusammenfassung 43 Literaturverzeichnis 45 Glossar 47 Akronyme 49 Stichwortverzeichnis 51 Befehlsverzeichnis 53 xi

12 Inhaltsverzeichnis xii c 2012, Airnet Technologie- und Bildungszentrum GmbH

13 Abbildungsverzeichnis 1.1 Der Laboraufbau Windows Gruppenrichtlinienobjekt-Editor Protokollierungseigenschaften des IIS Real-Time Monitoring Real-Time Alert Player Real-Time Associated Reports Run Report Report Forensic Investigation Compliance Reporting Compliance Reporting Netow Dashboard Real-Time Meldung von FW Real-Time Meldung von FW SOX Dashboard Firewall Denied Reports Investigation Report OpenVAS Security Report mit Login Network Vulnerability Test IIS Real-Time FW Denied Summary FW Allowed Summary FW Details FW Intellischema User Login Summary Windows Startup and Login Windows Security Objects and Processes Windows Accounts and Passwords Investigation Microsoft IIS xiii

14 Abbildungsverzeichnis xiv c 2012, Airnet Technologie- und Bildungszentrum GmbH

15 Verzeichnis der Beispiele 1.1 Konguration von FW Konguration von FW NMAP /24 über FW NMAP /24 über FW NMAP /32 über FW NMAP /32 über FW Auszug aus dem Metasploit Exploit Log xv

16

17 Kapitel 1 Beschreibung der Testumgebung Dieses Kapitel beschreibt die Testumgebung sowie die dazugehörigen Eckdaten im Einzelnen. Sowohl der genaue physische Aufbau des Labors als auch eine Beschreibung der eingesetzten Komponenten zusammen mit den von uns verwendeten Sicherheitsdiensten werden detailliert dargestellt. Bitte achten Sie darauf, dass diese Beschreibung bereits Komponenten und Features über diesen Testbericht hinaus vorstellt, die Bestandteil meines Fachbuchs Globale Wirtschaft und Exekutive im Fadenkreuz des Cybercrime hochintelligente Systeme als wirksamer Schutz vor der unsichtbaren Bedrohung ([Kha13]), welches im Jahr 2013 erscheint, sein werden. Inhaltsangabe 1.1 Laboraufbau Betriebssystem-Distributionen und -Versionen Ausschnitte von Gerätekongurationen Aufzählung der verwendeten Angristools

18 Kapitel 1 Beschreibung der Testumgebung 1.1 Laboraufbau Abbildung 1.1 zeigt zunächst den Aufbau des Labors. Links von den drei Firewalls bendet sich das zu schützende Netzwerk, welches in mehrere Subnetzwerke aufgeteilt ist. Rechts davon zeigen wir ein externes, ungesichertes Netzwerk, das in der Realität z.b. das Internet sein könnte. Die Verbindung, die von den Firewalls aus nach unten geht, stellt eine echte Internetverbindung dar. Diese wird benötigt, um die aktuellen Signaturen für Dienste wie IDP und AV regelmäÿig herunterzuladen. Abbildung 1.1: Der Laboraufbau Um später die Identizierung der Angrisrichtung zu erleichtern, wurde die Bezeichnung der einzelnen Schnittstellen der Komponenten mit aufgeführt. Der Testbericht konzentriert sich auf Angrie, die von zwei, sich auf dem ungesicherten Netzwerk be- ndlichen, Angrissystemen (Metasploit, Backtrack) ausgehen. Weiterhin haben wir, primär zu internen Zwecken, jedem Netz bzw. Subnetz eine VPNund VLAN-Nummer zugeordnet, da die Testumgebung Teil unseres Gesamtnetzwerkes ist. Die Nummern dienen zur Kennzeichnung der Subnetzwerke. So stellt zum Beispiel VPN7/VLAN113 das interne Client-Netzwerk dar. Die Wireless-Clients sind ebenfalls interne Clients, auch wenn sie nicht zu diesem VPN/VLAN gehören. Die internen Clients werden auf das ungesicherte Netzwerk zugreifen. VPN8/VLAN114 ist ein Monitoring-Netzwerk, auf dem sich das SIEM-System bendet. VPN9/VLAN115 stellt eine DMZ mit zwei Servern zur Verfügung, auf die vom ungesicherten Netzwerk aus zugegrien wird. Schlieÿlich sehen wir im VPN10/VLAN116 neben den bereits vorgestellten Angrissys- 2 c 2012, Airnet Technologie- und Bildungszentrum GmbH

19 1.1 Laboraufbau temen einen Web- bzw. FTP-Server, auf den die inernen Clients zugreifen werden. Nachfolgend eine detaillierte Beschreibung der Komponenten und Dienste: Sensage SIEM ( ) Ein Server, der durch eine Real-Time-Komponente das Netzwerk proaktiv auf verdächtiges Verhalten überwacht (Security Monitoring) und durch die Bereitstellung einer Reporting Engine (Log Management) die Basis für reaktive Langzeitanalysen zur Verfügung stellt. Ein Sensage-System besteht aus einer Back-End- und einer Front-End-Komponente. Hierbei handelt es sich um das Back-End, das unter einem gehärteten Red Hat Linux läuft. Windows Console ( ) Die auf einem Windows System installierte Sensage Console (Front-End) basiert auf Java-Technologie und stellt eine Schnittstelle für den Security Analyst bereit. Penetration Testing mit Metasploit Pro ( ) Ein Server, der unter Ubuntu Linux läuft und ein mächtiges Exploit Tool zur Verfügung stellt. Penetration Testing mit BackTrack 5R2 ( ) Ein Server, der zum Angreifen der Systeme und Dienste in diesem Netzwerk verwendet wird. Die genauen Tools, die wir hierzu verwenden, werden unter Abschnitt 1.4 auf Seite 13 beschrieben. Router1, 2 und 3 Dies sind drei Cisco 1841 Router, die vor den Firewalls geschaltet sind. Im vorliegenden Testbericht nehmen die Router lediglich die Layer- 3 Routing-Funktion ([Sch12a], [Sch12b], [Kha10a]) wahr. In unserem Fachbuch [Kha13], das in 2013 erscheinen wird, beschreiben wir, wie Trac-Statistiken durch das Protokoll Netow gesammelt und sinnvoll dazu verwendet werden, verdächtiges Verhalten aufzuspüren. FW1 Hierbei handelt es sich um eine Juniper-Firewall des Typs SRX 210 auf der Grundlage des Junos-Betriebssystems. Diese Firewall wird insbesondere durch Dienste wie Screens, Policies, IDP und Unied Threat Management (UTM) das links von ihr bendliche Netzwerk schützen. FW2 Diese Cisco ASA 5510 Firewall mit einem CSC-Modul wird ebenfalls das links von ihr liegende Netzwerk schützen. Die Sicherheitsdienste, die hier eingesetzt werden, sind Threat-Detection, Access-Listen, Inspection und Anti-x Dienste durch das CSC-Modul, welches auf Technologie von Trendmicro basiert. Im Fachbuch [Kha13] werden wir weiterhin das IPS-Modul von Cisco einbinden. FW3 Dies ist eine unter dem Betriebssystem ScreenOS laufende Juniper-Firewall des Typs SSG320, die ebenfalls über Dienste wie Screens, Policies, AV und Deep Inspection das links von ihr bendliche Netzwerk schützen wird. Diese Firewall ist nicht Bestandteil dieses Testberichts, sondern wird in unserem Fachbuch [Kha13] eingebunden. Windows 2003 Server namens Win2003ServDMZ ( ) Hierbei handelt c 2012, Airnet Technologie- und Bildungszentrum GmbH 3

20 Kapitel 1 Beschreibung der Testumgebung es sich um einen Windows 2003 Server, der über den Internet Information Server (IIS) dem ungesicherten Netzwerk Web- und FTP-Dienste zur Verfügung stellt. Windows 2003 Server namens Win2003ServOut ( ) Ein Windows 2003 Server, der im quasi simulierten Internet über den IIS Web- und FTP- Dienste zur Verfügung stellt. In [Kha13] ist geplant, diesen Server mit bösartigem Code auszustatten, um den Nachweis zu führen, dass Web-Surfer (interne Clients), die durch geeignete Maÿnahmen geschützt sind, sich nicht durch ihn inzieren. Linux Server ( ) Dieser Linux Server stellt durch einen Apache Server dem ungesicherten Netzwerk Web-Dienste zur Verfügung. Er ist nicht Bestandteil dieses Testberichts und wird im Fachbuch [Kha13] enthalten sein. Switch2 Das Gleiche gilt für den Extreme Networks Summit X450a Switch. Im Rahmen des Fachbuchs werden wir das Sicherheitsfeature CLEAR-Flow demonstrieren. Switch1, 3, 4 Diese Switches dienen lediglich dem Layer-2 Forwarding ([Kha10c], [Kha10d], [Kha10b]) ohne aktivierte Sicherheitsfeatures. Es handelt sich hierbei um Cisco Catalyst 2950 Switches. In unserem Fachbuch zeigen wir weiterhin Schutzmaÿnahmen auf Layer-2 Switches zur Vorbeugung gegen Insider-Threats. Windows 7 und Wireless Clients Diese Clients werden in [Kha13] auf den Server Win2003ServOut zugreifen, der mit Viren und Würmern inziert sein wird. 1.2 Betriebssystem-Distributionen und -Versionen In der Folge werden die Betriebssystem-Distributionen und -Versionen beschrieben. Hierbei haben wir uns bewusst nicht immer für die neusten oder gar stabilsten Versionen entschieden, sondern für diejenigen, die bei vielen unserer Kunden problemlos im Einsatz sind oder die uns die für unsere Tests notwendigen Features bereit stellen. Cisco Router 1841 Software (C1841-ADVENTERPRISEK9-M), Version 15.1(2)T1 Cisco ASA 5510 Security Appliance Software Version 8.2.(2) Trendmicro InterScan for Cisco CSC SSM Juniper Junos Software Release 12.1R2.9 Juniper ScreenOS 6.3 Sensage SWIFT unter Red Hat Linux c 2012, Airnet Technologie- und Bildungszentrum GmbH

21 1.3 Ausschnitte von Gerätekongurationen Metasploit Pro 4.4 BackTrack 5R2 Microsoft Windows 2003 Server Enterprise Edition, Service Pack 2 Microsoft Windows 7 (64 bit) 1.3 Ausschnitte von Gerätekongurationen Dieser Abschnitt zeigt die sicherheitsrelevanten Kongurationen der beiden Firewalls FW1 und FW2. Zusätzlich zeigen wir auch wichtige Einstellungen des in der DMZ bendlichen Windows 2003 Servers, da er dem Sensage-Überwachungssystem wertvolle Informationen liefern muss. Da es sich bei den Switches und Routern lediglich um die Standard Layer-2- bzw. Layer-3-Funktionalität handelt, haben wir diese unberücksichtigt gelassen. In Beispiel 1.1 sehen Sie zunächst die Konguration der Juniper SRX 210 Firewall. Es ist nicht vorgesehen, jeden einzelnen Befehl zu erläutern. Wir beginnen erst mit einem kurzen Abriss, gehen aber dann bei Bedarf in den einzelnen Kapiteln auf den einen oder anderen Befehl näher ein. Im Kongurationsabschnitt system, der von Zeile 4 bis 21 geht, sind grundlegende Kongurationen, die die Firewall global betreen, zu sehen. Hier ist beispielsweise unser Sensage Back-End System ( ) als Syslog-Server angegeben, der sämtliche Logs (any any) von dieser Firewall empfängt. Weiterhin ist zu sehen, dass auch ein NTP-Server speziziert ist. Der Kongurationsabschnitt security ist aufgeteilt in den Bereichen idp (ab Zeile 52), nat (ab Zeile 214), screen (Zeile ), zones (Zeile ), policies (Zeile ), ow (Zeile ) und utm (ab Zeile 382). Zum Abwehren der Reconnaissance und DOS Attacken dienen in erster Linie die Bereiche screen und ow. Als Verteidigung gegen Access Attacken bedienen wir uns hauptsächlich der idp Features, werden aber auch gelegentlich auf Reaktionen der utm Anti Virus Engine schauen. Die Bereiche nat, zones und policies bilden die Grundlagen für das Weiterleiten der IP Pakete durch die Firewall. Beispiel 1.1: Konguration von FW1 1 root@fw1> show c o n f i g u r a t i o n 2 ## Last commit : : 19: 36 CEST by root 3 v e r s i o n R5. 5 ; 4 system { 5 host name FW1; 6 time zone Europe / Berlin ; 7 root a u t h e n t i c a t i o n { 8 encrypted password "$1$Xatpv0PW$1n0Wy/DJTbe8CVb6uB0J61 " ; ## SECRET DATA 9 } 10 s e r v i c e s { 11 ssh ; 12 } 13 s y s l o g { c 2012, Airnet Technologie- und Bildungszentrum GmbH 5

22 Kapitel 1 Beschreibung der Testumgebung 14 h o s t { 15 any any ; 16 } 17 } 18 ntp { 19 s e r v e r ; 20 } 21 } 22 i n t e r f a c e s { 23 ge 0/0/0 { 24 u n i t 0 { 25 f a m i l y i n e t { 26 a d d r e s s / 3 0 ; 27 } 28 } 29 } 30 fe 0/0/2 { 31 u n i t 0 { 32 f a m i l y i n e t { 33 a d d r e s s / 2 4 ; 34 } 35 } 36 } 37 fe 0/0/3 { 38 u n i t 0 { 39 f a m i l y i n e t { 40 a d d r e s s / 2 4 ; 41 } 42 } 43 } 44 } 45 r o u t i n g o p t i o n s { 46 s t a t i c { 47 r o u t e / 0 next hop ; 48 r o u t e / 1 6 next hop ; 49 } 50 } 51 s e c u r i t y { 52 idp { 53 idp p o l i c y Web_Server { 54 / This template p o l i c y i s designed to protect commonly used HTTP s e r v e r s from remote attacks. / 55 r u l e b a s e i p s { 56 r u l e 1 { 57 / This r u l e drops a l l packets that should not occur on a clean network, and can be used by 58 a t t a c k e r s to evade IDSs. This r u l e i s necessary to harden the IDP against evasion attempts. / 59 match { 60 from zone any ; 61 source a d d r e s s any ; 62 to zone any ; 63 d e s t i n a t i o n a d d r e s s any ; 64 a p p l i c a t i o n d e f a u l t ; 65 a t t a c k s { 66 p r e d e f i n e d attack groups [ "IP Major " "IP C r i t i c a l " 67 "TCP C r i t i c a l " "TCP Major " ] ; 68 } 69 } 70 then { 71 a c t i o n { 72 drop packet ; 73 } 74 n o t i f i c a t i o n { 75 log attacks ; 76 } 77 } 78 } 79 r u l e 2 { 80 / This r u l e drops a l l DNS and DHCP p a c k e t s t h a t c o n t a i n c r i t i c a l s e v e r i t y a t t a c k s and l o g s 81 them as alarms. Enable t h i s r u l e i f you are running your IDP in " in l i n e " mode, and wish to 82 protect your network against c r i t i c a l DNS and DHCP attacks. / 83 match { 84 from zone any ; 85 source a d d r e s s any ; 86 to zone any ; 87 d e s t i n a t i o n a d d r e s s any ; 88 a p p l i c a t i o n d e f a u l t ; 89 a t t a c k s { 90 p r e d e f i n e d attack groups [ "DNS C r i t i c a l " "DNS Major " ] ; 91 } 92 } 93 then { 94 a c t i o n { 95 drop packet ; 96 } 97 n o t i f i c a t i o n { 98 log attacks ; 99 } 100 } 101 } 102 r u l e 3 { 103 / This r u l e drops c r i t i c a l and high s e v e r i t y a t t a c k s a g a i n s t common web and I I S s e r v i c e s and 104 l o g s them as alarms. Enable t h i s r u l e i f you a r e running your IDP i n " in l i n e " mode, and wish 105 to p r o t e c t your network a g a i n s t c r i t i c a l and high s e v e r i t y a t t a c k s. / 106 match { 6 c 2012, Airnet Technologie- und Bildungszentrum GmbH

23 1.3 Ausschnitte von Gerätekongurationen 107 from zone any ; 108 source a d d r e s s any ; 109 to zone any ; 110 d e s t i n a t i o n a d d r e s s any ; 111 a p p l i c a t i o n d e f a u l t ; 112 a t t a c k s { 113 predefined attack groups [ "FINGER C r i t i c a l " "FINGER Major " 114 "GOPHER C r i t i c a l " "GOPHER Major " "FTP C r i t i c a l " "FTP Major " "HTTP C r i t i c a l " 115 "HTTP Major " "SHELLCODE Major " "SHELLCODE C r i t i c a l " "NNTP C r i t i c a l " "NNTP Major " ] ; 116 } 117 } 118 then { 119 a c t i o n { 120 drop packet ; 121 } 122 n o t i f i c a t i o n { 123 log attacks ; 124 } 125 } 126 } 127 r u l e 4 { 128 / This r u l e l o g s medium s e v e r i t y a t t a c k s. Enable t h i s r u l e i f you a r e running your IDP i n 129 " in l i n e " mode, and wish to monitor your network f o r attacks and IDS evasion attempts. / 130 match { 131 from zone any ; 132 source a d d r e s s any ; 133 to zone any ; 134 d e s t i n a t i o n a d d r e s s any ; 135 a p p l i c a t i o n d e f a u l t ; 136 a t t a c k s { 137 predefined attack groups [ "DNS Minor " "FINGER Minor " 138 "FTP Minor " "GOPHER Minor " "HTTP Minor " "NNTP Minor " "SHELLCODE Minor " ] ; 139 } 140 } 141 then { 142 a c t i o n { 143 no action ; 144 } 145 n o t i f i c a t i o n { 146 log attacks ; 147 } 148 } 149 } 150 r u l e 5 { 151 / This r u l e l o g s low s e v e r i t y a t t a c k s. The r u l e i s d i s a b l e d by d e f a u l t, as some networks 152 c o n t a i n many low s e v e r i t y events, which r e s u l t s i n many l o g s. / 153 match { 154 from zone any ; 155 source a d d r e s s any ; 156 to zone any ; 157 d e s t i n a t i o n a d d r e s s any ; 158 a p p l i c a t i o n d e f a u l t ; 159 a t t a c k s { 160 predefined attack groups [ "Anomaly Warning" 161 " S i g n a t u r e Warning" ] ; 162 } 163 } 164 then { 165 a c t i o n { 166 no action ; 167 } 168 n o t i f i c a t i o n { 169 log attacks ; 170 } 171 } 172 } 173 r u l e 6 { 174 / This r u l e l o g s i n f o r m a t i o n a l e v e n t s. This r u l e i s d i s a b l e d by d e f a u l t as i t g e n e r a t e s 175 many l o g s. I n f o r m a t i o n a l s i g n a t u r e s a r e i n c l u d e d not to n e c e s s a r i l y d e t e c t a t t a c k s, but to 176 p r o v i d e a d d i t i o n a l u n d e r s t a n d i n g o f your network ' s t r a f f i c. / 177 match { 178 from zone any ; 179 source a d d r e s s any ; 180 to zone any ; 181 d e s t i n a t i o n a d d r e s s any ; 182 a p p l i c a t i o n d e f a u l t ; 183 a t t a c k s { 184 predefined attack groups [ "Anomaly Info " " Signature Info " ] ; 185 } 186 } 187 then { 188 a c t i o n { 189 no action ; 190 } 191 n o t i f i c a t i o n { 192 log attacks ; 193 } 194 } 195 } 196 } 197 } 198 a c t i v e p o l i c y Web_Server ; 199 security package { c 2012, Airnet Technologie- und Bildungszentrum GmbH 7

24 Kapitel 1 Beschreibung der Testumgebung 200 automatic { 201 start time " :49: "; 202 i n t e r v a l 2 4 ; 203 enable ; 204 } 205 } 206 s e n s o r c o n f i g u r a t i o n { 207 l o g { 208 s u p p r e s s i o n { 209 d i s a b l e ; 210 } 211 } 212 } 213 } 214 nat { 215 s o u r c e { 216 r u l e s e t t r u s t to I n t e r n e t { 217 from zone t r u s t ; 218 to zone I n t e r n e t ; 219 r u l e source nat r u l e { 220 match { 221 source a d d r e s s / 0 ; 222 } 223 then { 224 source nat { 225 i n t e r f a c e ; 226 } 227 } 228 } 229 } 230 } 231 } 232 s c r e e n { 233 i d s o p t i o n untrust s c r e e n { 234 icmp { 235 ip sweep ; 236 fragment ; 237 l a r g e ; 238 f l o o d t h r e s h o l d ; 239 ping death ; 240 } 241 i p { 242 bad option ; 243 record route option ; 244 timestamp option ; 245 security option ; 246 stream option ; 247 spoofing ; 248 source route option ; 249 unknown protocol ; 250 tear drop ; 251 } 252 tcp { 253 syn f i n ; 254 fin no ack ; 255 tcp no f l a g ; 256 syn f r a g ; 257 port scan ; 258 syn ack ack proxy t h r e s h o l d ; 259 syn f l o o d { 260 alarm t h r e s h o l d ; 261 attack t h r e s h o l d ; 262 source t h r e s h o l d ; 263 destination threshold 2048; 264 timeout 2 0 ; 265 } 266 land ; 267 winnuke ; 268 } 269 udp { 270 f l o o d t h r e s h o l d ; 271 } 272 l i m i t s e s s i o n { 273 source ip based ; 274 destination ip based 128; 275 } 276 } 277 } 278 z o n e s { 279 s e c u r i t y zone t r u s t { 280 address book { 281 a d d r e s s DMZ_Servers / 2 4 ; 282 } 283 host inbound t r a f f i c { 284 system s e r v i c e s { 285 a l l ; 286 } 287 p r o t o c o l s { 288 a l l ; 289 } 290 } 291 i n t e r f a c e s { 292 ge 0/0/0.0; 8 c 2012, Airnet Technologie- und Bildungszentrum GmbH