Jan-Peter Hashagen (04INF) Anwendung Rechnernetze Hochschule Merseburg WS 2007 SNORT

Ähnliche Dokumente
Snort. Vortrag im Fach Anwendung Rechnernetze. Jan-Peter Hashagen Wintersemester 2007/08 Hochschule Merseburg

IDS/IPS Intrusion Detection System/Intrusion Prevention System

Literatur. [8-1] [8-2]

IPv6 Intrusion Detection mit Snort

IPv6 Intrusion Detection mit Snort

Network Intrusion Detection mit Snort. (Nachtrag zu 9.2.2, Seite 33)

Ich will raus! Tunnel durch die Firewall

IPv6 Intrusion Detection mit Snort

IPv6 Intrusion Detection mit Snort-Plugin. Martin Schütte

Infrusion Defection System Evasion durch Angriffsverschleierung in Exploiting Frameworks

Intrusion Detection/Prevention mit Suricata

Entwicklung von Angriffskomplexität und Angriffsziele Integrationsgrenzen heutiger IDS SNMPv3 IDS Modell der IETF

Netzwerk Intrusion Detection mit Snort in schnellen Netzen

Design and Implementation of an IPv6 Plugin for the Snort Intrusion Detection System

Intrusion Detection and Prevention

IPv6 Intrusion Detection mit Snort-Plugin

Praktikum IT-Sicherheit

Intrusion Detection & Response

Snort Quo vadis? Kurzer Überblick über aktuelle Entwicklungen rund um das Open Source IDS Snort

Intrusion Detection Systems

Network Intrusion Detection

Intrusion Detection Systeme. Definition (BSI) Alternative Definition IDS

Design and Implementation of an IPv6 Plugin for the Snort Intrusion Detection System

IT-Sicherheitsmanagement. Teil 6: Intrusion Detection Systeme

4.3 Einbruchsentdeckung Intrusion Detection

Erstellen von Zusatztools für SNORT Dokumentation

Internet & Sicherheit

Definition (BSI) Intrusion Detection Systeme. Alternative Definition. Hauptkomponenten. Erkennung von Angriffen. Hauptkomponenten

Thomas Bechtold Peer Heinlein. Snort, Acid 8t Co. Einbruchserkennung mit Linux

IDS Intrusion Detection Systems

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Rechnernetze und -Organisation Michael Hutter Karl C. Posch.

Check Point IPS. Agenda. Check Point & AlgoSec Security-Update 24./25. September «Eine Firewall ohne IPS ist keine Firewall»

Scientia est potentia. Intrusion Detection (und Response) am Beispiel Snort

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Integriertes Management von Sicherheitsvorfällen

Intrusion-Detection für Automatisierungstechnik

Deutsches Forschungsnetz

ELIT2012: Security. Security: Potentielle Gefahren und Gegenmaßnahmen

IDS: Trends und Herausforderungen 2007

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Threat Response Incident Response. Hans Irlacher. Manager Presales Engineering CEMEA

Grundkurs Routing im Internet mit Übungen

Kolloquium der. Sicherheitslösungen für VoIP Netzwerke

SQL-Injection by. SQL Injection Teil 2 R. Mirzaev & J. Kresslein 1

SIEM Ein Praxisbericht

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Blast-o-Mat v4. Ein Ansatz zur automatischen Erkennung und Sperrung Malware infizierter Rechner. Rechen- und Kommunikationszentrum RWTH-Aachen

(Distributed) Denial-of-Service Attack. Simon Moor Felix Rohrer Network & Services HS 12

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an.

Planung und Aufbau eines virtuellen Honeynetzwerkes p.1/30

IDS Intrusion Detection System, part II

Intrusion Detection & Intrusion Prevention. Tobias Marx Gastvorlesung Sicherheit in Netzen 14. April 2005

SYN Grundlagen Algorithmen Anwendung FIN. Anomalieerkennung. UnFUG WS2011/2012. Alexander Passfall Hochschule Furtwangen

Intrusion Detection Basics

IT-SECURITY. Detect. Act. Protect.

Trend Micro Deep Security. Tobias Schubert Pre-Sales Engineer DACH

The information security provider

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

IRS in virtualisierten Umgebungen

Network Intrusion Detection

Sensoren im Netzwerk

Was Wer Wie Wo tut? Intrusion Detection

Verändertes Sicherheitsparadigma. Open Space Security

When your browser turns against you Stealing local files

Rechnernetze I. Rechnernetze I. 11 Anwendungsprotokolle SS 2012

Seminar: Konzepte von Betriebssytem- Komponenten

Vortrag Rechnernetze. Thema: Arp Spoofing. Stev Eisenhardt / Inf04. Seite 1

Seminarvortrag. Anton Ebertzeder von

IDS Evasion: Eine technische Einführung

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Radware revolutioniert den DDOS Schutz. Markus Spahn: (Sales Manager)

Open Source und Sicherheit

Rechnernetze. 6. Übung

VS3 Slide 1. Verteilte Systeme. Vorlesung 3 vom Dr. Sebastian Iwanowski FH Wedel

Firewall. My Company - My Castly. Kontinuierlicher Prozess

Von: Klick, Johannes. - Home Gateway - Ready for the Internet?

WLAN,Netzwerk Monitoring & Filtering. SS 2011 Betreuer: Dr.Oliver Dippel Teilnehmer:Constant Mabou Bopda

ARCHITEKTUR VON INFORMATIONSSYSTEMEN

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Secure Linux Praxis. ein How-To Vortrag am Christoph Weinandt Systemadministrator / Security Officer ComBOTS AG, Karlsruhe

Sicherheit im Internet

Wolfgang Barth Das Firewall-Buch Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux SuSE PRESS

Sinn und Unsinn von Desktop-Firewalls

Scan-Techniken Ein Überblick

Sicher(lich) ebanking

TCP/IP-Protokollfamilie

... mehr als die Internet-Feuerwehr. DFN-CERT Services GmbH Dr. Klaus-Peter Kossakowski

Zielgerichtete getarnte Angriffe (Eng. Advanced Evasion Techniques)

Desktop Personal Firewall und Virenscanner

Was ist System-Monitoring? Nagios Logfile-Monitoring. System Monitoring. RBG-Seminar 2005/06. Holger Kälberer

Destructive AJAX. Stefan Proksch Christoph Kirchmayr

Inhaltsverzeichnis. Die Grundlagen. Vorwort zur 2. Ausgabe. Vorwort zur Erstausgabe

Der Blast-o-Mat. Intrusion handling an der RWTH Aachen. Jens Hektor, Jan Göbel Rechen- und Kommunikationszentrum RWTH Aachen

SAP NetWeaver Gateway. 2013

HBF IT-Systeme. BBU-BSK Übung 2 Stand:

Palo Alto Networks Innovative vs. Tradition. Matthias Canisius Country Manager DACH

Cisco Connected Grid Lösung konkreter

System i Monitoring & Automation

Transkript:

Jan-Peter Hashagen (04INF) Anwendung Rechnernetze Hochschule Merseburg WS 2007 SNORT

GLIEDERUNG Was ist ein Intrusion Detection System? Arten von IDS Probleme von IDS Snort Jan-Peter Hashagen 2

EINFÜHRUNG IN IDS Erkennung nicht-autorisierter Zugangsversuche Alarmanlage Analogie: Anti-Viren Software Software vs. Hardware + Software Firmen-Sicherheitsrichtlinien IDS ist nur ein Baustein Jan-Peter Hashagen 3

ARTEN VON IDS

NETZWERK-BASIERTE IDS Jan-Peter Hashagen 5

HOST-BASIERTE IDS Jan-Peter Hashagen 6

VERTEILTE IDS Jan-Peter Hashagen 7

WEITERE IDS-ARTEN Gateway IDS Anwendungs-IDS Jan-Peter Hashagen 8

FUNKTIONSWEISE EINES IDS Überwachte Informationen Netzwerk-spezifisch Host-spezifisch Anwendungs-spezifisch Ereignisanalyse Signaturerkennung Anomalieerkennung Passive Reaktion Aktive Reaktion Jan-Peter Hashagen 9

PROBLEME VON IDS

PROBLEME VON IDS False positives False negatives Paketmodifikationen Fragmentierung Überlappungen Insertion Attacks Evasion Attacks Jan-Peter Hashagen 11

INSERTION ATTACK GET /cgi-bin/phf?\n/bin/cat\n/etc/passwd GET /cgi-bin/phunhackf?\n/bin/cat\n/etc/passwd Jan-Peter Hashagen 12

EVASION ATTACK Jan-Peter Hashagen 13

WEITERE PROBLEME Ressourcenüberlastung CPU Arbeitsspeicher Festplattenkapazität Netzwerkbandbreite Jan-Peter Hashagen 14

WARUM SIND IDS WICHTIG Hinweis auf laufende Angriffe Detailinformationen über frühere Angriffe Veröffentlichungspflicht Botnets Warez-Server Industriespionage Jan-Peter Hashagen 15

SNORT

SNORT Open Source Netzwerk-IDS Betriebsmodi Netzwerk-basierte ID Sniffer Packet logger Plattformübergreifend Signaturbasiert Bedrohungen Virus- oder Wurmausbruch Server exploits Jan-Peter Hashagen 17

VIRUSBEISPIEL Dabber Wurm Attackiert Sasser-infizierte Rechner alert tcp $EXTERNAL_NET any -> $HOME_NET 5554 (msg:"community VIRUS Dabber PORT overflow attempt port 5554"; flow:to_server,established,no_stream; content:"port"; nocase; isdataat:100,relative; pcre:"/^port\s[^\n]{100}/smi"; reference:mcafee,125300; classtype:attemptedadmin; sid:100000110; rev:1;) Jan-Peter Hashagen 18

SERVER EXPLOIT BEISPIEL Oracle TNS Listener alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 3339 (msg:"community ORACLE TNS Listener shutdown via isqlplus attempt"; flow:to_server,established; content:"isqlplus"; nocase; content:"command"; nocase; distance:0; content:"stop"; nocase; distance:0; content:"listener"; nocase; distance:0; pcre:"/isqlplus\x2f[^\r\n]*command\s*\x3d\s*stop[^\r\n\x26]*liste NER/si"; reference:bugtraq,15032; reference:url,www.red-databasesecurity. com/advisory/oracle_isqlplus_shutdown.html; classtype:attempteduser; sid:100000166; rev:1;) Jan-Peter Hashagen 19

SNORT ARCHITEKTUR Jan-Peter Hashagen 20

SNIFFER Jan-Peter Hashagen 21

PRÄPROZESSOREN Jan-Peter Hashagen 22

PRÄPROZESSOREN Jan-Peter Hashagen 23

ERKENNUNG Jan-Peter Hashagen 24

REGELN Header Aktion Protokoll IP/Ports Optionen Meldung Fluß Inhalt Metadaten alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 3339 (msg:"community ORACLE TNS Listener shutdown via flow:to_server,established; content:"isqlplus"; nocase; content:"command"; nocase; distance:0; content:"stop"; nocase; distance:0; content:"listener"; nocase; distance:0; pcre:"/isqlplus\x2f[^\r\n]*command\s*\x3d\s*stop[ reference:bugtraq,15032; reference:url,www.red- Databasesecurity.com/advisory/oracle_isqlplus_shu classtype:attempteduser; sid:100000166; rev:1;) Jan-Peter Hashagen 25

ALARM Jan-Peter Hashagen 26

BARNYARD Trennung von Ausgabe und Überwachung Asynchrone Ereignisverarbeitung Keine Root-Rechte Snort Unified Files Alarme Protokolle Stream-stat Jan-Peter Hashagen 27

NEU IN SNORT 2.8 Portlisten portvar EXAMPLE1 80 var EXAMPLE2_PORT [80:90] var PORT_EXAMPLE2 [1] portvar EXAMPLE3 any portvar EXAMPLE4 [!70:90] portvar EXAMPLE5 [80,91:95,100:200] IPv6 alert ip fe80::20c:29ff:fe00:c6c2 any -> fe80::20c:29ff:fe60:232a any\ (msg:"local IPv6 Link Local test"; sid:2000001;) Jan-Peter Hashagen 28

VIELEN DANK FÜR IHRE AUFMERKSAMKEIT

QUELLEN Snort IDS and IPS Toolkit (Beale, Baker, Esler) http://www.snort.org/docs/idspaper/ (11/2007) http://searchsecurity.techtarget.com.au/topics /article.asp?docid=1278254 (11/2007) Jan-Peter Hashagen 30

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback