Informationssicherheit Teil 9: Netzwerk-Basierte Intrusion Detection Systeme

Transkript

1 Informationssicherheit Teil 9: Netzwerk-Basierte Intrusion Detection Systeme

2 Literatur [9-1] [9-2] [9-3] [9-4] [9-5] 2

3 Übersicht - NIDS Netzwerk-basierte IDS = NIDS = IDS zur Überwachung von bestimmten Netzwerkverbindungen (Kabel) Orte: Vor einer Firewall ("draußen") Hinter einer Firewall in der DMZ An Netzsegmenten im Innenbereich 3

4 An der Netzschnittstelle erkennbare Angriffe Beispiele 1. DoS-Angriffe durch Bufferoverflow 2. Ungültige, anormale Pakete, z. B. Ping of Death 3. Angriffe auf Applikationen, z.b. Web-Server: Cross Site Scripting 4. Informationsdiebstahl durch Mitschneiden der Kommunikation 5. Modifikation und Kopieren von Dateien per FTP 6. Fernsteuern über das Netz: Missbrauch eines Rechners als Bot 7. Eingeschränktes Feststellen des Spoofings 8. Benutzung fragwürdiger DNS-Server 9. Portscanns 4

5 Hausmittel I Hierzu gehören Sniffer mit Filterfunktionen: tcpdump wireshark ngrep Mit diesen Werkzeugen und deren Filterfunktionen lassen sich die Kommunikation leicht abhören und auswerten. Beispiel für ngrep: ngrep -A 10 'guest' tcp port 21 or tcp port 110 Alle Zugriffe mit telnet (Port 21) und POP3 (Port 110) des Benutzers "guest" sowie die folgenden 10 Zeilen werden ausgegeben. 5

6 Hausmittel II - wireshark wireshark ist ein sehr leistungsfähiger Paket-Sniffer. Version (September 2017) Quelle: 6

7 Hausmittel III - wireshark 7

8 snort Beginn der Entwicklung 1998, es gehört nun zu einem der besten NIDS Open Source, Version (September 2017) Einsatz als Sniffer und vor allem als IDS Snort benutzt die libpcap-library, die auch von Wireshark und tcpdump verwendet wird; daher können die angehörten Daten gemeinsam benutzt werden Allerdings hat auch snort eine unangenehme Sicherheitsgeschichte: es gibt zahlreiche Angriffe. 8

9 Installation I Es werden zusätzliche Pakete benötigt, falls das Arbeiten mit Datenbanken gewünscht wird: libcap, OpenSSL WinPopUp unixodbc für externe Datenbanken MySQL, PostgreSQL, Oracle als Datenbanken Installation von snort erfolgt am besten mit den rpms, z.b. rpm -ivh snort centos7.x86_64.rpm Oder aus den Quellen: tar xvfz snort tar.gz./configure make make install 9

10 Installation II Es müssen anschließend noch die Regeln installiert werden. Diese müssen nach einer Registrierung von der Website zusätzlich herunter geladen werden. Durch Generieren eines geheimen Codes (Oinkcode) können die aktuellen Regeln für die "Community" automatisiert herunter geladen werden. Es gibt zwei Arten der Benutzung: Kommerziell: aktuelle Regeln Frei: etwas ältere Regeln 10

11 Konfigurieren Vor der Benutzung muss die Datei /etc/snort/snort.conf bearbeitet werden. Leider gibt es inzwischen so viele Regeln, dass ein Prüfen auf alle Regeln eine Maschine stark belastet; daher sollte möglichst eine vernünftige Untermenge der Regeln aktiviert werden. Die Datei snort.conf ist sehr gut kommentiert. Vorne im Kommentar stehen die notwendigen Arbeitsschritte. Wichtig ist, dass die Ethernet-Schnittstelle korrekt konfiguriert wurde. Tipp: Zum Prüfen der Schnittstelle den Sniffer iptraf bzw. wireshark benutzen. 11

12 Architektur Die Plugins sowie die Regeln werden über die Konfigurationsdatei /etc/snort/snort.conf gesteuert. 12

13 Einsatz als Sniffer (Beispiele) I snort -v Sniffer sehr ähnlich zu tcpdump snort -dev -d zeigt noch den Paketinhalt an, -e das Ethernet-Paket snort -devi eth0 Hier kann die Schnittstelle mit -i angegeben werden snort -devi eth0 icmp Zum Filtern lassen sich Filterbedingungen nach den Berkeley- Paketfilterregeln (BPF) angeben; es sind dieselben wie bei tcpdump 13

14 Berkeley-Paketfilterregeln (BPF) Logischer Ausdruck mit AND, OR und NOT sowie Klammern Beispiele: tcp and (dst port 22) and not (net ) ip and (src net ) and (dst net ) Siehe dazu Ausdruck Bedeutung host IP-Adresse Beschränkung auf eine IP-Adresse [src dst ] port Port-Nummer... auf Herkunfts-/Absende-Port [src dst ] net Netz-ID... auf ein Netz Protokoll: ip, tcp, udp, icmp... Auf ein bestimmtes Protokoll 14

15 Einsatz als Sniffer (Beispiele) II snort -dev -l Ordner Im Ordner werden Unterverzeichnisse mit den Namen der betreffenden Kommunikationspartner angelegt. snort -dev -l Ordner -h Adresse/Maske Wenn das eigene Netzwerk, z.b /16, angegeben wird, tragen die Unterverzeichnisse die Namen der externen Kommunikationspartner. Problem: Es können sehr viele Dateien erzeugt werden. snort -dev -b -l Ordner -h Adresse/Maske Hier wird im libpcap-format protokolliert, das auch von tcpdump und wireshark gelesen werden kann snort -dev -r Datei Hier wird eine binäre Protokolldatei noch einmal eingelesen. 15

16 Einsatz als NIDS snort -de -l Ordner -h Adresse/Maske -c RulesFile Ausgabeformate und Reaktionen: Flag Erläuterung -b Binärformat (libpcap) -N Keine Protokollierung -A fast Schnellster Modus: Zeitstempel, Alarmmeldung, IP-Adressen -A full Standardmodus: Zeitstempel, Alarmmeldung, Paketheader -A unsock Sendet Alarmmeldung an einen Socket -A none Keine Alarmierung -s Alarmiert via Syslogd (Einträge in Logfiles) -M Alarmiert via WinPopUp (nur unter Windows) 16

17 Beispiele von Snort-Regeln I # # MYSQL RULES # alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 3306 (msg: root login attempt"; flow:to_server,established; content:" 0A "; classtype:protocol-command-decode; sid:1775; rev:1;) alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 3306 (msg:"mysql show databases attempt"; flow:to_server,established; content:" 0f show databases"; classtype:protocol-command-decode; sid:1776; rev:1;) 17

18 Beispiele von Snort-Regeln II # # ICMP RULES # alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"icmp PING NMAP"; dsize: 0; itype: 8; reference:arachnids,162; classtype:attempted-recon; sid:469; rev:1;) alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"icmp traceroute ipopts"; ipopts: rr; itype: 0; reference:arachnids,238; classtype:attempted-recon; sid:475; rev:1;) alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"icmp Source Quench"; itype: 4; icode: 0; classtype:bad-unknown; sid:477; rev:1;) alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"icmp Large ICMP Packet"; dsize: >800; reference:arachnids,246; classtype:bad-unknown; sid:499; rev:3;) 18

19 Beispiele von Snort-Regeln III # # EXPLOIT RULES # alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"exploit ssh CRC32 overflow /bin/sh"; flow:to_server,established; content:"/bin/sh"; reference:bugtraq,2347; reference:cve,cve ; classtype:shellcode-detect; sid:1324; rev:3;) alert tcp $EXTERNAL_NET 80 -> $HOME_NET any (msg:"exploit netscape 4.7 client overflow"; flow:to_client,established; content: " 33 C9 B1 10 3F E C FA C0 50 F7 D0 50 "; reference:cve,cve ; reference:bugtraq,822; reference:arachnids,215; classtype:attempted-user; sid:283; rev:5;) alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"exploit x86 linux samba overflow"; flow:to_server,established; content: " eb2f 5feb 4a5e 89fb 893e 89f2 "; reference:bugtraq,1816; reference:cve,cve ; reference:cve,cve ; classtype:attempted-admin; sid:292; rev:4;) 19

20 Angriffe gegen snort I Die "üblichen" Sicherheitsprobleme hatte snort, z. B. Bufferoverflows Werkzeug stick generiert anhand der (öffentlichen) snort- Regeln vorsätzlich Falsch-Positive Pakete, um systematisch falsche Alarme auszulösen. Snot Ftester

21 Angriffe gegen snort II Das Werkzeug stick ist sehr gut, um eine snort-konfiguration zu testen. Wenn Portscanns entdeckt werden sollen, kann dies mit nmap leicht getestet werden. Siehe dazu: id=5ukt2owpou0c&pg=pt86&lpg=pt86&dq=stick+snort&source= bl&ots=nd6sr8zia4&sig=hiqp4gsmaxnzxxvj3pk0txzzbm&hl=de&sa=x&ei=e80zvdeenzltaiv_ gqgb&ved=0cd8q6aewbq#v=onepage&q=stick%20snort&f=false 21

22 Weitere Werkzeuge Snarf: Berichtswerkzeug Analysis Console for Intrusion Databases (ACID) Logsnorter ftp://ftp.sbin.org/pub/admin/security/ids/snort/ 22

23 Nun wieder etwas entspannen... 23