Jan-Peter Hashagen (04INF) Anwendung Rechnernetze Hochschule Merseburg WS 2007 SNORT

Größe: px

Ab Seite anzeigen:

Download "Jan-Peter Hashagen (04INF) Anwendung Rechnernetze Hochschule Merseburg WS 2007 SNORT"

Simon Kaufman
vor 6 Jahren
Abrufe

1 Jan-Peter Hashagen (04INF) Anwendung Rechnernetze Hochschule Merseburg WS 2007 SNORT

2 GLIEDERUNG Was ist ein Intrusion Detection System? Arten von IDS Probleme von IDS Snort Jan-Peter Hashagen 2

3 EINFÜHRUNG IN IDS Erkennung nicht-autorisierter Zugangsversuche Alarmanlage Analogie: Anti-Viren Software Software vs. Hardware + Software Firmen-Sicherheitsrichtlinien IDS ist nur ein Baustein Jan-Peter Hashagen 3

4 ARTEN VON IDS

5 NETZWERK-BASIERTE IDS Jan-Peter Hashagen 5

6 HOST-BASIERTE IDS Jan-Peter Hashagen 6

7 VERTEILTE IDS Jan-Peter Hashagen 7

8 WEITERE IDS-ARTEN Gateway IDS Anwendungs-IDS Jan-Peter Hashagen 8

9 FUNKTIONSWEISE EINES IDS Überwachte Informationen Netzwerk-spezifisch Host-spezifisch Anwendungs-spezifisch Ereignisanalyse Signaturerkennung Anomalieerkennung Passive Reaktion Aktive Reaktion Jan-Peter Hashagen 9

10 PROBLEME VON IDS

11 PROBLEME VON IDS False positives False negatives Paketmodifikationen Fragmentierung Überlappungen Insertion Attacks Evasion Attacks Jan-Peter Hashagen 11

12 INSERTION ATTACK GET /cgi-bin/phf?\n/bin/cat\n/etc/passwd GET /cgi-bin/phunhackf?\n/bin/cat\n/etc/passwd Jan-Peter Hashagen 12

13 EVASION ATTACK Jan-Peter Hashagen 13

14 WEITERE PROBLEME Ressourcenüberlastung CPU Arbeitsspeicher Festplattenkapazität Netzwerkbandbreite Jan-Peter Hashagen 14

15 WARUM SIND IDS WICHTIG Hinweis auf laufende Angriffe Detailinformationen über frühere Angriffe Veröffentlichungspflicht Botnets Warez-Server Industriespionage Jan-Peter Hashagen 15

16 SNORT

17 SNORT Open Source Netzwerk-IDS Betriebsmodi Netzwerk-basierte ID Sniffer Packet logger Plattformübergreifend Signaturbasiert Bedrohungen Virus- oder Wurmausbruch Server exploits Jan-Peter Hashagen 17

$flow:to_server,established,no_stream; content:"port"; nocase; isdataat:100,relative; pcre:"/^port\s[^\n]{100}/smi"; reference:mcafee,125300; classtype:attemptedadmin; sid:100000110; rev:1;)$

18 VIRUSBEISPIEL Dabber Wurm Attackiert Sasser-infizierte Rechner alert tcp $EXTERNAL_NET any -> $HOME_NET 5554 (msg:"community VIRUS Dabber PORT overflow attempt port 5554"; flow:to_server,established,no_stream; content:"port"; nocase; isdataat:100,relative; pcre:"/^port\s[^\n]{100}/smi"; reference:mcafee,125300; classtype:attemptedadmin; sid: ; rev:1;) Jan-Peter Hashagen 18

$distance:0; content:"listener"; nocase; distance:0; pcre:"/isqlplus\x2f[^\r\n]*command\s*\x3d\s*stop[^\r\n\x26]*liste NER/si";$

19 SERVER EXPLOIT BEISPIEL Oracle TNS Listener alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 3339 (msg:"community ORACLE TNS Listener shutdown via isqlplus attempt"; flow:to_server,established; content:"isqlplus"; nocase; content:"command"; nocase; distance:0; content:"stop"; nocase; distance:0; content:"listener"; nocase; distance:0; pcre:"/isqlplus\x2f[^\r\n]*command\s*\x3d\s*stop[^\r\n\x26]*liste NER/si"; reference:bugtraq,15032; reference:url, com/advisory/oracle_isqlplus_shutdown.html; classtype:attempteduser; sid: ; rev:1;) Jan-Peter Hashagen 19

20 SNORT ARCHITEKTUR Jan-Peter Hashagen 20

21 SNIFFER Jan-Peter Hashagen 21

22 PRÄPROZESSOREN Jan-Peter Hashagen 22

23 PRÄPROZESSOREN Jan-Peter Hashagen 23

24 ERKENNUNG Jan-Peter Hashagen 24

REGELN Header Aktion Protokoll IP/Ports Optionen Meldung Fluß Inhalt Metadaten alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 3339 (msg:"community ORACLE TNS Listener shutdown via

25 REGELN Header Aktion Protokoll IP/Ports Optionen Meldung Fluß Inhalt Metadaten alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 3339 (msg:"community ORACLE TNS Listener shutdown via flow:to_server,established; content:"isqlplus"; nocase; content:"command"; nocase; distance:0; content:"stop"; nocase; distance:0; content:"listener"; nocase; distance:0; pcre:"/isqlplus\x2f[^\r\n]*command\s*\x3d\s*stop[ reference:bugtraq,15032; reference:url, Databasesecurity.com/advisory/oracle_isqlplus_shu classtype:attempteduser; sid: ; rev:1;) Jan-Peter Hashagen 25

26 ALARM Jan-Peter Hashagen 26

27 BARNYARD Trennung von Ausgabe und Überwachung Asynchrone Ereignisverarbeitung Keine Root-Rechte Snort Unified Files Alarme Protokolle Stream-stat Jan-Peter Hashagen 27

28 NEU IN SNORT 2.8 Portlisten portvar EXAMPLE1 80 var EXAMPLE2_PORT [80:90] var PORT_EXAMPLE2 [1] portvar EXAMPLE3 any portvar EXAMPLE4 [!70:90] portvar EXAMPLE5 [80,91:95,100:200] IPv6 alert ip fe80::20c:29ff:fe00:c6c2 any -> fe80::20c:29ff:fe60:232a any\ (msg:"local IPv6 Link Local test"; sid: ;) Jan-Peter Hashagen 28

29 VIELEN DANK FÜR IHRE AUFMERKSAMKEIT

30 QUELLEN Snort IDS and IPS Toolkit (Beale, Baker, Esler) (11/2007) /article.asp?docid= (11/2007) Jan-Peter Hashagen 30

Ähnliche Dokumente

Snort. Vortrag im Fach Anwendung Rechnernetze. Jan-Peter Hashagen Wintersemester 2007/08 Hochschule Merseburg

Snort. Vortrag im Fach Anwendung Rechnernetze. Jan-Peter Hashagen Wintersemester 2007/08 Hochschule Merseburg Snort Vortrag im Fach Anwendung Rechnernetze Jan-Peter Hashagen Wintersemester 2007/08 Hochschule Merseburg 1 Inhaltsverzeichnis Einführung in Intrusion Detection Systeme...3 Arten von IDS...4 Netzwerkbasierte