Intrusion Detection and Prevention 19-05-2008: Chaos Computer Club Lëtzebuerg 21-05-2008: Chaos Computer Club Trier Vortragender: Kabel
Aufbau Einführung - Was ist Intrusion Detection - Unterschiede zwischen IDS und IPS Technologien eines IDPS Komponente und Fähigkeiten eines IDPS Management eines IDPS Benutzung und Integration multipler IDPS IDPS Produktauswahl
Was ist Intrusion Detection? Analyse - Netzwerk/System - Erkennen von Attacken Intrusion Detection (IDS) vs. Intrusion Prevention (IPS) - IDS erkennt einen Angriff - IPS versucht einen Angriff zu stoppen Beides wird hier behandelt (IDPS) - Zuerst einzelne Fähigkeiten - Danach Integration beider Arten
Technologien eines IDPS Signature based detection Anomaly based detection Stateful protocol analysis
Signature based detection Ausfallmuster passend zu einer Bedrohung - Überprüfung durch Vergleiche Gut um: - einfache Angriffe zu verhindern - Veränderung wichtiger Dateien zu erkennen Schlecht für: - neue/modifizierte Bedrohungen Filter Technologie
Anomaly based detection Erzeugen eines, als normal geltendes, Profil - Für Netzwerkaktivität, CPU Benutzung,... Vergleich dieses Profils mit der aktuellen Situation Zwei Arten an Profilarten: - dynamisch - statisch Gut für: - die Erkennung unbekannter Angriffe Schlecht für: - langwierige Attacken
Stateful protocol analysis Vergleich der Protokolle mit den Standart Definitionen - Versuch Abweichungen zu erkennen Fähig zu verstehen was passiert - anhand verschiedener Statusse Gut wenn: - die Implementierung des Protokolls den RFCs entspricht Schlecht wenn: - proprietäre Protokolle eingesetzt werden die nicht dokumentiert sind Nachteile: - Sehr Ressourcenintensiv - Problem mit Attacken die den RFCs entsprechen (DoS)
Typen von IDPS Technologien Netzwerkbasierte: Überwachung von Segmenten des Netzwerks Kabellos: Kabellose Aktivität wird überwacht, auch das Protokoll selber Network Bahaviour Analysis: Analyse der Netzwerkaktivität Host-Based: Überwacht ein einzelner Computer
Komponente eines IDPS Agenten und Sensoren - Überwachung Management Server - Zentraler Baustein Database Server - Speicherung Konsole - Konfiguration/Analyse
Netzwerkinfrastruktur Zwei Möglichkeiten: - Über das Unternehmensnetztwerk * kostengünstig * Sollte ein VLAN einsetzen * Keine garantierte Bandbreite - Managementnetzwerk * teuer * total abgetrennt * sicherer, garantierte Bandbreite
Sicherheitsfähigkeiten 1/2 Informationen sammeln - Betriebssystem - Portscanning - Netzwerkeinstellungen Logging Einsatzmöglichkeiten - loggen aller Aktivitäten - zusammenführen der Logs Alarmeigenschaften Code Einsicht und Modifikation
Sicherheitsfähigkeiten 2/2 Detektionseinsatzmöglichkeiten - Grenzwerte * Bis wohin gilt es als normal - Blacklist und Whitelist * Blacklist enthält alles was als Böse bekannt ist * Vertraute Hosts/Software stehen auf der Whitelist
Management 1/2 Beim Aufbauen acht geben auf: - wieviele Sensoren/Agente - Redundance - Zuverlässigkeit/Belastbarkeit des Systems - Änderungen im aktuellen Netzwerk Testen: - Testumfeld - Nach und nach aufbauen (tunen) Sichern des IDPS - zb Sensoren von Außen nicht Ansprechbar Administration und Instandhaltung - Gui, Shell, mit oder ohne SSH
Management 2/2 Laufende Instandhaltung - IDPS Komponente müssen Sicher sein - Auf neue Sicherheitslücken achten Updates - Systeme, Applikationen und IDPS updaten - Integrität der Updates überprüfen (Checksum)
Netzwerk basierte IDPS 1/2 Überwacht die Aktivität in bestimmen Netzwerksegmenten - überwacht Netzwerk, Transport und Applikationsschicht - spezielle Sensoren * Applikation basierte Sensoren (Hard- und Software) * Software-only Sensoren - 2 mögliche Betriebsarten der Sensoren * Inline (Traffic geht durch) * Passiv (arbeitet auf einer Kopie des Traffics) Großer Nachteil: - Verschlüsselte Kommunikation kann nicht analysiert werden - Wenn zuviel Traffic ist kann nicht alles geprüft werden
Netzwerk basierte IDPS 2/2 Prävention: - Fähigkeit TCP Sessions zu resetten - Inline Firewalling - umkonfigureieren der Netzwerkadapter - Weitere Prävention kann meistens durch eigene Software angebracht werden
Kabellose IDPS Analyse des kabellosen Netzwerktraffics Analyse des Protokolls an sich Überwachung der Channel Sensoren: - dedizierte * teuer, benötigen spezielle Hardware * fest, oder mobil - gebundene Sensoren * können an bereits existierender Hardware angebracht werden
Network behavior analysis 1/2 Analyse vom Netzwerktraffic, oder Statistiken des Traffics Sensoren wie bei den Netzwerkbasierten IDPS Informationen Sammeln über: - Hosts - Traffic von wo nach wo Erkennt: - Scanning - DoS - Worms - Unerwünschte Services Erkennt Angriffe die viel Traffic erzeugen
Network behavior analysis 2/2 Feintuning ist möglich - NBA kann Signaturen erkennen die die Firewall nicht kennt Problem: Synchronisation mit dem Management Server - Auswertung findet auf diesem statt - Je nachdem ist das Netzwerk oder System schon beschädigt
Host-based IDPS Auf einem Computer installierte Agenten Überwachen: - Netzwerkschnittstellen - Integrität des Systemes Synchronisation mit dem Management Server Meistens auf Host installiert die im Internet hängen Ressourcenintensiv Benutzen oft shims zur Überwachung, andernfalls kann nur wenig Überwacht werden Viel tuning nötig
Multiple IDPS Zusammenführen aller Informationen der 4 IDPS Typen Entweder fertige Produkte des gleichen Herstellers nehmen Oder die verschiedenen Produkte untereinander integrieren - zb mit: Security Information and Event Manager - oder andere Frameworks (Syslog)
Produktauswahl Was wird benötigt? Auswertung des Risiko/Kosten Faktors Analyse der Netzwerktopologie Kosten für die Installation, Wartung das Training einplanen Sich erkundigen was es an IDPS gibt und nach Informationsquellen jeder Art suchen
Bekannte Produkte Kostenpflichtige IDPS - Netranger (Cisco) für Unix - Dragon Intrusion Detection (NSW) für Unix - Centrax 2.3 (Cybersafe) für Unix und Windows Opensource: - Snort (http://www.snort.org/) - tripwire Weitere gibt es zb hier: http://www.tlab.ch/praktika/serieiii/c15/theorie/ids/ids-35. html
..-=SLIDE 23 =-.. Danke für eure Aufmerksamkeit, irgendwelche Fragen?