IDS/IPS Intrusion Detection System/Intrusion Prevention System

Transkript

1 IDS/IPS Intrusion Detection System/Intrusion Prevention System Benjamin Lietzau & Philipp Meyer Sommersemester 2012 Seminar im Modul: Kommunikationstechnik/Netzwerke Dozent: Prof. Dr. Stefan Wolf 1

2 Themenüberblick 2

3 Themenüberblick 1. Einleitung 1.1 Was ist IDS (Unterschied zu IPS) 1.2 Was für Angriffe gibt es und können erkannt werden? 2. Architekturen 2.1 Host-basiert 2.2 Netzwerk-basiert 2.3 Hybrid 3

4 Themenüberblick 3. Snort 3.1 Was ist Snort - Geschichte 3.2 Vorteile/Nachteile gegenüber anderen IDS 3.3 GUIs für Snort 3.4 Funktionsweise im Detail (Filter, Signaturen, Muster,...) 3.5 Weitere IDS/IPS 4. Beispiel - Projekt: Realisierung BITS 5. Fazit 4

5 Einleitung 5

6 Was ist IDS? Intrusion Detection System Ergänzung zur Firewall Schutz vor Angriffen Signaturbasiert Anomalieerkennung 6

7 Was ist IPS? IPS Intrusion Prevention System IDS: Alarmanlage IPS: Block den Angreifer Drei Arten: NIDS (Netzwerkbasiert) HIDS (Hostbasiert) Hybrid 7

8 Warum IDS? Reicht nicht eine Firewall? Reichen nicht aktuelle Patche? Nimbda: ca. 365 Tage Sasser: nur 17 Tage Zero-Day-Attacken Mögliche Angriffsziele Stack-Overflow, Backdoors, Trojaner, Sicherheitslücken 8

9 Architekturen 9

10 Architekturen - Hostbasiert Benötigt installierte Client-Software Überwacht Daten am Host Meist zentraler Log- und Admin-Server Gefahr durch Kompromittierung des Clients Wenig Möglichkeiten Angriffe direkt abzuwehren Belastet den Host 10

11 Architekturen - Hostbasiert Schnittstellenüberwachung Host-Kommunikation Codeanalyse Dateisystemüberwachung Prozessüberwachung [NIST04] 11

12 Architekturen - Netzwerkbasiert Zwischengeschaltet Datenstrom überwachen Datenstrom unterbrechen/filtern Analyse von Protokollen Analyse auf Ausnutzung von Schwachstellen/Backdoors Überlastung Firewall-Installationen 12

13 Architekturen Netzwerkbasiert - Inline Host-Identifizierung OS-Identifizierung Software-Identifizierung Netzwerk-Charakteristika [NIST04] 13

14 Architekturen Netzwerkbasiert - Passiv Host-Identifizierung OS-Identifizierung Software-Identifizierung Netzwerk-Charakteristika [NIST04] 14

15 Architekturen - Hybrid Rechner- und Netzwerk-Überwachung Scannt Netzwerkverkehr Erkennt lokale Einbrüche (bspw. Dateisystem) Gängiges Tool Prelude-IDS Community- und Pro-Edition Mehr Infos: [LIM04] 15

16 SNORT 16

17 Was ist SNORT? Intrusion Detection and Prevention Toolkit Open Source Projekt (GPL) Kommerzielle Variante ebenfalls verfügbar Für alle gängigen Plattformen verfügbar Aktuelle Version:

18 Was ist SNORT - Geschichte Erste Veröffentlichung: Ziel: Sniffer für persönliche Bedürfnisse des Entwicklers Jan 1999: erste IDS Funktionen Dez 1999: SNORT kann durch Plug-ins erweitert werden SNORT geriet ins Hintertreffen 18

19 Was ist SNORT - Geschichte 2001: Gründung von Sourcefire Sourcefire bot Support für SNORT an 2002: neue Detection Engine für Gigabit-Ethernet 2007: IPv6 Support 19

20 SNORT Komponenten [BEA07] 20

21 SNORT Komponenten Überwacht alle Pakete [BEA07] Nutzen: Netzwerkanalyse, Fehlersuche, Daten abhören 21

22 SNORT Komponenten Vorbereitung für Detection Engine [BEA07] Beispiele: Frag2, http_inspect, arpspoof, bo, rpc_decode 22

23 SNORT Komponenten Herz von SNORT [BEA07] Überprüft die Pakete anhand von Regeln 23

24 Was ist SNORT [BEA07] 24

25 SNORT Komponenten Logging-Funktion [BEA07] Log-Datei, Mail, SMS, Datenbankeintrag,... 25

26 Vorteile von SNORT Anpassbarkeit Definieren von eigenen Regeln Robust Läuft stabil Weit verbreitet Große Community Gut Dokumentiert IPv6 Support Frei verfügbar Support möglich 26

27 GUI für SNORT BASE OSSIM PLACID SGUIL Snorby SQueRT 27

28 GUI für SNORT BASE OSSIM PLACID SGUIL Snorby SQueRT 28

29 GUI für SNORT BASE OSSIM PLACID SGUIL Snorby SQueRT 29

30 GUI für SNORT BASE OSSIM PLACID SGUIL Snorby SQueRT 30

31 SNORT nutzen Sniffer Mode snort -v Packet Logger Mode snort -dev -l./log NIDS Mode snort -d -l./log -c snort.conf 31

32 SNORT - Funktionsweise im Detail - Rule Header alert - löst einen Alarm aus pass - lässt das Paket passieren activate - aktiviert weitere Regeln dynamic - muss explizit von einer activate-regel angesprochen werden [BEC04] 32

33 SNORT - Funktionsweise im Detail - Rule Header action protocol source_ip_address port direction destination_ip_address port Zum Beispiel: alert tcp $EXTERNAL_NET any -> $HOME_NET [ROG08] 33

34 SNORT - Funktionsweise im Detail - Rule Body (Keyword1 : value1 ; Keyword2 : value 2; ) Zum Beispiel: (msg:"backdoor trinity connection attempt"; flow:to_server,established; content:"!@ 23 "; depth:3; reference:cve, ; reference:nessus,10501; classtype:attempted-admin; sid:1843; rev:6;) [ROG08] 34

35 SNORT - Funktionsweise im Detail - Rule Body (msg:"backdoor trinity connection attempt"; flow:to_server,established; content:"!@ 23 "; depth:3; reference:cve, ; reference:nessus,10501; classtype:attempted-admin; sid:1843; rev:6;) msg: Eintrag ins Log flow: Paket über aufgebaute Leitung unterwegs content: Paketinhalt depth: nur die ersten (in diesem Beispiel) drei Byte inspizieren [ROG08] 35

36 SNORT - Funktionsweise im Detail - Rule Body (msg:"backdoor trinity connection attempt"; flow:to_server,established; content:"!@ 23 "; depth:3; reference:cve, ; reference:nessus,10501; classtype:attempted-admin; sid:1843; rev:6;) references: zusätzliche Log-Informationen, bspw. Website o. ä. classtype: Wer soll benachrichtigt werden sid: Kennnummer rev: Revision [ROG08] 36

37 SNORT - Funktionsweise im Detail - Output-Module ruletype ActionServerList { type alert output alert_smb: server-intern.list output log_tcpdump: user-action.log } Aktion vom Typ alert mit dem Namen ActionServerList Datei (SMB-Netzwerkzugriff) server-intern.list Meldung im tcpdump-format in die Logdatei user-action.log [ROG08] 37

38 SNORT - Weitere IDS/IPS Microsoft Forefront Threat Management Gateway Cisco IDS Appliances, Firewalls, Router mit IOS, Module, Software Appliances, z. B. von Symantec pfsense, Endian enthalten Snort 38

39 Beispiel - Projekt: Realisierung BITS 39

40 Beispiel - Projekt: Realisierung BITS lorem ipsum 40

41 Beispiel - Projekt: Realisierung BITS lorem ipsum 41

42 Beispiel - Projekt: Realisierung BITS lorem ipsum 42

43 Fazit 43

44 Fazit IDS/IPS als solches sinnvoll Administrativer Aufwand/Komplexität Eine zusätzliche Maßnahme SNORT: kostenlos, regelmäßige Updates (z.t. nur für zahlende Kunden), große Community 44

45 Quellen 45

46 Quellen [BEC04] Bechtold, Heinlein: Snort, ACID & Co.; 1. Aufl. München: Open Source Press, ISBN [BEA07] Beale et. al: Snort: IDS and IPS Toolkit; 1. Aufl. Burlington: Syngress, ISBN [KUR08] Kurose, Ross: Computernetzwerke; 4. Auflage. München: Pearson Studium, ISBN [NIST04] Scarfone et. al: Guide to Intrusion Detection and Prevention Systems; National Institute of Standards and Technology, [SNO12] Autor unbekannt: SNORT :: Home Page, [RIE08] Riedelberger, Schmitz: Kostenloses IDS/IPS auf höchstem Niveau, , [ROG08] Rogge: Workshop: Snort konfigurieren und IDS-Regeln erstellen, , [ESL11] Rogge: GUIs for Snort, , [LIM04] Spenneberg: Hybrid-IDS überwacht sowohl Rechner als auch Netzwerk, ,

47 Vielen Dank für die Aufmerksamkeit! Benjamin Lietzau & Philipp Meyer FB 8 - Angewandte Informatik/Umweltingenieurwesen benjamin.lietzau@stud.hs-owl.de philipp.meyer@stud.hs-owl.de