Erweiterte Analysemöglichkeiten für Firewalls durch Anbindung von Intrusion Detection Systemen

Transkript

1 Erweiterte Analysemöglichkeiten für Firewalls durch Anbindung von Intrusion Detection Systemen 13. Deutscher IT-Sicherheitskongress Mai 2013 Bonn - Bad Godesberg Ralf Meister genua mbh

2 Teil 1: Motivation Motivation Projekt SUNSHINE Application Level Gateways Intrusion Detection Systeme 2

3 Projekt SUNSHINE Schutz vor Missbrauch und Bedrohung von VoIP-Netzwerken Förderung durch Bundesministerium für Bildung und Forschung 4 Projektteilnehmer 4 assoziierte Partner Laufzeit: 2 Jahre, bis April 2013, Verlängerung bis 31. Juli 2013 siehe 3

4 Projekt SUNSHINE Projektteilnehmer Assoziierte Partner 4

5 Application Level Gateways (ALG) Proxy: Vermittlerprozess zwischen Client und Server Zwei separate Verbindungen vom Proxy zu jeweils Client und Server Kernel führt Verarbeitung bis zum Level 4 durch Übergabe der Daten an Proxy über socket Schnittstelle OS I R eferenz modell Anwendungen (Application) Darstellung (Presentation) Sitzung (Session) Transport (Transport) Vermittlung (Network) Sicherungsschicht (Data Link) Bitübertragung (Physical) U s e r K e r n e l 5 Weiterleitung der Daten im Proxy

6 Application Level Gateways (ALG) 6 Vorteile: Inspektion der Daten im Proxy Filtern der Daten im Proxy Nachteile: zweimaliger Wechsel von User und Kernel- Mode Anpassung der Inspektion und Filterung an die verwendeten Protokolle: HTTP, SMTP, FTP,... Proxy kennt nur die Daten die er vermittelt Protokollübergreifende Analysen können im Proxy nicht stattfinden

7 Intrusion Detection Systeme (IDS) IDS: Erkennung von Einbrüchen/Angriffen Beobachten des Netzwerkverkehrs Eingabedaten sind auf Level 2 einzuordnen Alarmierung bei Detektion von Angriffen Eingreifen in die Verbindung (Intrusion Prevention Systeme IPS) Analysemethoden Angriffserkennung durch Signaturen/Muster Angriffserkennung durch Analyse von Protokollen 7

8 Intrusion Detection Systeme (IDS) 8 Vorteile: Protokollübergreifende Analyse möglich Bei IPS Verbindungsabbruch möglich Nachteile: Signaturanalyse: Je nach Qualität der Signaturen hohe Fehlerrate Protokollanalyse: Anpassung an die jeweiligen Protokolle Bei reinen IDS kein Eingreifen in die Verbindung Verbindungsabbruch bei IPS kann unerwünscht sein

9 Fazit Sowohl ALG als auch IDS haben Vor- und Nachteile Eine Kombination von ALG und IDS kann helfen die Vorteile zu kombinieren und die Nachteile abzuschwächen 9

10 Teil 2: Komponenten Komponenten OpenBSD relayd bro network security monitor 10

11 OpenBSD relayd OpenBSD Open-Source Betriebssystem basierend auf 4.4-BSDlite mit dem Fokus der Entwicklung auf Security unter BSD Lizenz Siehe Basissystem für Firewallsysteme 11

12 OpenBSD relayd 12 relayd Bestandteil von OpenBSD generischer Proxy für TCP-Verbindungen Unterstützung von HTTP und DNS Interne Behandlung von Netzwerkverkehr mittels libevent Buffer Events Transparente Verbindungen Zieltransparenz Absendetransparenz

13 bro bro network security monitor Network Intrusion Detection System (NIDS) Name soll an Big Brother in 1984 von George Orwell erinnern Entwickelt von Vern Paxson Weiterentwicklung an: International Computer Science Institute (ICSI), Berkeley, CA National Center for Supercomputer Applications (NCSA), Urbana-Champaign, IL 13

14 bro 14 Design Analyse auf Applikationsebene: Beobachtung von Protokollsitzungen Analyse über mehrere Protokollsitzungen Archivierung für off-line Analyse Mechanismen und Policy Mechanismen: Dekodierung der Protokolle Mechanismen sind in bro enthalten Policy: Entscheidung von guten oder bösen Netzwerkverkehr Policy ist dem Einsatzzweck anzupassen

15 Teil 3: Anbindung von bro an relayd Anbindung von bro an relayd Architektur Kommunikationsschnittstelle Erweiterte Analysemöglichkeiten 15

16 Architektur Firewall relayd libram bro Policy Scripte Event Ebene libevent buffer event Libram buffer event Module: http sip ftp libram-rpc libram-rpcserver 16

17 Kommunikationsschnittstelle libram: remote analysis and modification library Einbettung in Proxy: OpenBSD relayd Anbindungsarten Im Proxy Prozess Auf lokaler Maschine Auf entfernter Maschine Asynchrone Benachrichtigungen Serverkomponente libram-rpcserver zur Einbettung in entfernte Analysemethoden: bro 17

18 Kommunikationsschnittstelle Module sind implementiert als shared libraries Einbettung in Proxy-Komponente erfolgt nur einmal Verschiedene Protokolle können angebunden werden: HTTP, SMTP, FTP,... Analysekomponente kann in demselben Prozesskontext wie Relay ablaufen Module können externen Analysekomponenten einbinden Externe Analysekomponente kann mehrere Proxies analysieren und damit protokollübergreifende Analysen durchführen 18

19 Erweiterte Analysemöglichkeiten Protokollkonformität Test ob die übertragenen Daten mit dem Protokoll übereinstimmen Verbindungsübergreifende Analysen Protokollübergreifende Angriffe können erkann werden Einbeziehen von Daten aus der Vergangenheit 19 Wiederholende Zugriffsmuster können erkannt werden Einbeziehung zeitlicher Analysen Das zeitliche Verhalten der Daten kann analysiert werden

20 Dankeschön! Vielen Dank für Ihre Aufmerksamkeit!