Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit
IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen Protokoll-Analyse / Abweichungen Abweichungen von statistischen Normalen
Was ist Intrusion Detection? Yntrusion Detection = Technik Know-How Organisation Hardware Software IT-Organisation und Struktur Technik Know-How Benutzung des IDS Wissen über Netze, Systeme und Applikationen Betriebskonzepte Eskalationsprozeduren Organisation Hacking-Techniken
Klassische IDS / IPS Verfahren im Netz Vergleiche mit Liste 110100110110101001110 P80,*..%c19c..* P80,..phf* P25,*debug PXY*-l -froot PZ,67438786 PW,h%(67t7 1101010001101001110 IP TCP UDP ICMP FTP HTTP SMTP Vergleiche mit Liste P21,*RETR457 Vergleiche P21, *5uuuu mit Liste P25,*debug P25, *578&%$
mögliche Positionen von Netz-IDS Internet Externer Verkehr vor der Firewall Mehr als 10.000 Events / Tag Verkehr im Backbone Hohe Bandbreiten Kritische Segmente Vertrieb Finanzen wichtige Server Warum nur Detection?
wichtige Player 1995 Wheel Group 1996 NFR 1997 ISS Realsecure Axent Netprowler, ITA 1997 Cisco Netranger 1999 Intrusion 1999 Dragon 1998/99 Snort Network Ice 2000 2001 Symantec 2001 Recourse Intruvert eentercept Okena Stormwatch SANA? Enterasys (Cabletron) 2000 Sourcefire, Genua, Varisys,... OneSecure Und viele weitere neue Player Forescout 2002 NAI 2003 Netscreen
Probleme von IDS IDS Produkte liefern Ungenaue Daten Sehr viele davon Und auch viele falsch positive Daten IDS ist eine Überwachungsfunktion die Manpower benötigt Möglichst ständig Zur Analyse zweifelhafter Events Anspruchsvolle Tätigkeit
Netzwerk IDS mit IPS Erweiterungen Internet Please Block IDS Sensor Kill Inline IDS Sensor App. Server Web- Server Block Was kann Ebene überhaupt geblockt werden? Performance Falsch Pos.
Einordnung: Netz IDS mit IPS Erweiterungen Policy Analyse Policy-Basierte Filter auf Netzwerkebene (IP-Adressen, Ports) Schwäche: Hostbased Security Analytische Mechanismen Viren-Patterns In Dateien bei SMTP, FTP und HTTP Traffic Patterns von bekannten Exploits auf Netz-Ebene IDS Lücke: Angriffe auf Netzwerkebene Ohne bekannte Muster Sehr gut erkennbare Viren / Trojaner Wenig Erkennung Neuer Viren / Würmer Eindeutig erkennbare Angriffe Unsichere Erkennung, Falsch-Positive Lücke: Angriffe auf Anwendungsebene z.b. in HTTP sind nur mit Kenntnis und Status der Applikationslogik erkennbar / verhinderbar
Einordnung: Netz IDS mit IPS Erweiterungen Policy Analyse Policy-Basierte Filter auf Netzwerkebene (IP-Adressen, Ports) Schwäche: Hostbased Security Analytische Mechanismen Viren-Patterns In Dateien bei SMTP, FTP und HTTP Traffic Patterns von bekannten Exploits auf Netz-Ebene IDS Lücke: Angriffe auf Netzwerkebene Ohne bekannte Muster Lücke: Angriffe auf Anwendungsebene z.b. in HTTP sind nur mit Kenntnis und Status der Applikationslogik erkennbar / verhinderbar Sehr gut Offensichtliche erkennbare Viren / Trojaner Reaktions- Wenig Möglichkeit Erkennung! Neuer Viren / Würmer Eindeutig erkennbare Angriffe Unsichere Erkennung, Falsch-Positive Hoher Aufwand für Überwachung und Entscheidungs- Findung
Übliches schlechtes IDS Tuning Policy Policy-Basierte Filter auf Netzwerkebene (IP-Adressen, Ports) Schwäche: Hostbased Security Analyse Analytische Mechanismen Viren-Patterns In Dateien bei SMTP, FTP und HTTP Traffic Patterns von bekannten Exploits auf Netz-Ebene IDS Lücke: Angriffe auf Netzwerkebene Ohne bekannte Muster Lücke: Angriffe auf Anwendungsebene z.b. in HTTP sind nur mit Kenntnis und Status der Applikationslogik erkennbar / verhinderbar Abschalten der Signaturen, die keine eindeutige Erkennung liefern. Anspruchsvollere Angriffe werden nicht Sehr mehr gut erkennbare erkannt Viren / Trojaner Wenig Erkennung Neuer Viren / Würmer Eindeutig erkennbare Angriffe Unsichere Erkennung, Falsch-Positive
Konsequenzen Policy Analyse Policy-Basierte Filter auf Netzwerkebene (IP-Adressen, Ports) Schwäche: Hostbased Security Analytische Mechanismen Viren-Patterns In Dateien bei SMTP, FTP und HTTP Traffic Patterns von bekannten Exploits auf Netz-Ebene IPS IDS Lücke: Angriffe auf Netzwerkebene Ohne bekannte Muster Sehr gut erkennbare Viren / Trojaner Wenig Erkennung Neuer Viren / Würmer Eindeutig erkennbare Angriffe Nicht eindeutig erkennbare IDS Muster Lücke: Angriffe auf Anwendungsebene z.b. in HTTP sind nur mit Kenntnis und Status der Applikationslogik erkennbar / verhinderbar
Beispiele für moderne Intrusion Prevention Systeme
Network Based IPS vor der Firewall Ziel: Angriffe erkennen und verhindern Möglichst früh Problem: gigantische Datenmengen Zu viele Fehl-Alarme DoS Gefahr Ansatz nicht geeignet IDS/IPS IDS Sensor Internet LAN
Network Based IPS vor der Firewall Erkennung der Intention eines Angreifers Ohne Falsch-Alarme Reaktion möglich Probe / Angriff Verwundbarkeit Scan Scout Hab Dich! Internet LAN
Forescout IPS Hat keine Fehlalarme Ist unabhängig von neuen Angriffstechniken Verhalten des Angreifers Schutz vor neuen Würmern Verwundbarkeitsfenster 0 Zeit zwischen neuer Verwundbarkeit und Update Geringe Folgekosten Keine ständige Überwachung nötig Gutes Feedback Sinnvolle Auswertungen möglich
Web Applikations IPS Dynamisches Lernen von URLs Verfolgen jeder Benutzersession Analyse der abgefragten HTML-Seiten Extraktion aller möglichen Links Session 1357 Links: /products/index.html /services/index.html /cgi/feedback.pl Session 1357 Links: /services/s1.html /products/index.html /services/s2.html /services/index.html /services/xy.html /cgi/feedback.pl Anwender GET / GET / Startseite: Seite: /services/index.html /start.html Startseite: /start.html Cookie: Session 1357 Seite: /services/index.html HTTP- GET /services/index.html /msadc/msadcs.dll Filter GET /services/index.html Web- Server
Alternatives Web IPS: Application IDS/IPS Browser Internet HTTP URLs Eingaben Cookies Web- App SQL Benutzer Kommandos Tabellen Objekte App. / DB LAN IDS Sensor IDS Sensor Mgnt
Intrusion Prevention im Überblick Erfundene Systeme mit Verwundbarkeiten Was will der Client? H8934: 25 Deb*% 80 Res&&er 80??.php-ex 80 *phf:80 Src?=dst ip Bekanntes Angriffs- Muster? Semantische Integrität und erlaubte Operationen auf Daten Browser Semantische Integrität der URLs, Eingaben, Sessions Session-Tabellen Dynamisches Lernen der URLs und Wertebereiche Web- Server Verhalten der Applikationen (Kernel Calls, Ressourcen) 1: Erlaube XYZ 2: Verbiete jiofr 3: guifewhfewj App. / DB Internet LAN
Wird IPS die Nachfolge von IDS? Manchmal, beispielsweise auf dem Host Aber nicht immer und in allen Bereichen! Monitoring und Erkennung hat auch ohne aktiven Eingriff seinen Sinn IPS wird nie 100% verhindern Unsicherheiten und Grenzfälle Defense in Depth Kritische Umgebungen
Welches IDS / IPS ist das richtige? Der Markt ist im Umbruch und bietet viele neue Ideen Mit einem einfachen Feature / Performance Vergleich ist nichts gewonnen Viele Aspekte zu berücksichtigen Technologie / Grundprinzipien Ziel und Anwendungsbereich Sehr viel Organisation Fokus auf individuellem Konzept