Effizienter Einsatz von IPS in Netzen von Andreas Ißleiber [email protected] Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen Am Fassberg, 37077 Göttingen Fon: 0551 201-1510 Fax: 0551 21119 [email protected] www.gwdg.de Über uns… (Gesellschaft) GWDG, Gesellschaft für wissenschaftliche Datenverarbeitung Göttingen • GWDG ist eine gemeinsame Einrichtung des Landes Niedersachsen und der Max-Planck-Gesellschaft (GmbH), Gründung 1970, 65 Beschäftigte • Doppelfunktion als…: • Zentrales Hochschul-Rechenzentrum der Universität Göttingen mit 25.000 Studierenden, 13.000 Beschäftigten • Rechen- und Kompetenzzentrum der Max-Planck Gesellschaft (Bundesweit) ca. 80 Institute 12.000 Beschäftigte 2 Über uns… (Netzwerk) • GWDG ist Netzwerkbetreiber für die Göttinger Wissenschaftsnetz (GÖNET), Class B Netz • >= 12.000 Nodes, 38.000 User • Internet access: 1GBit/s 3 Bisherige Schutzmechanismen • • • • Logfileauswertung der Router-Daten (Flows) Auswertung von abnormalem Traffic (Volumina) Erkennung virulenten Verhaltens (ARP-Requests) Alarm bei Nutzung subtiler, verdächtiger Ports (Diplomarbeit) • IDS System (Enterrasys Dragon) • Pro - Eigenentwicklung, Anpassung an lokale Bedürfnisse • Contra - Hoher Entwicklungsaufwand - Ggf. Sicherheitslücken, keine schnelle Reaktion auf Angriffswellen möglich - Geringere Stabilität, hoher Wartungsaufwand 4 Anforderungen, Motive bzgl. Sicherheit • • • • • • • • Absicherung des lokalen Netzwerkes Standardisierte Lösung (keine „Bastellösung“) Möglichst automatisierte Reaktion auf Attacken Erweitertes Logging, Eskalationswege Geringer Wartungsaufwand Hohe Erkennungsrate Hohe Bandbreite Übernahme des operativen Betriebs durch geringer qualifiziertes Personal (keine Experten) 5 Was ist ein IPS ? • Traffic wird im Vergleich zum IDS bei Angriffen … Blockiert, Reduziert, Alarmiert, Blacklist (alles bidirektional !) • Weitere Aktion: ggf. Senden von TCP-„Reset“ an die Quelle • Transparenter Modus (inline mode), keine Änderungen des Traffic • Erkennung muß exakt und schnell Internet sein, da sonst legaler Traffic Logging blockiert wird (false positive) und Firewall (selbstgebautes DoS) ggf. Auswertung „block“ bei • Erkennung in L2-L7 IPS Attacken • Hohe Bandbreite erforderlich L2-Bridge (kein Engpass im Netz) ! LAN 6 Vergleich IDS vs. IPS IDS vs. + Einsatz mehrerer Sensoren im Netz - Überwachung des IDS durch Administrator erforderlich - (zu)viele Loggingingformationen IPS + aktive Abwehr von Angriffen + geringerer administrativer Aufwand - im inline mode: schnelle Erkennung und Reaktion erforderlich Hardware hoher Preis 7 IPS-Typen hostbasierte IDS/IPS (Software auf Endgerät) + geringe Datenmenge + Systemzustand erkennbar, schädlicher Code + Bei „false positive“ nur eigenes System betroffen - ggf. auf OS-Ebene auszuhebeln, da Programm/Dienst - Verwaltung pro Host - eingeschränkte Sicht (nur host) netzbasierte IDS/IPS „NIPS“(Software o. Appliance zentral) + kann ganzes Segment überwachen/schützen + besserer Schutz bei (D)DoS Attacken + Überblick über gesamtes Netz (Gesamtbild ergibt erst eine Attacke) + sieht auch Attacken auf unbenutzte Adressen + zentrales Management - hohe Bandbreite erforderlich, Latenzen ? 8 Tippingpoint IPS Features: • • • • • • Kombination Hard- & Softwarelösung Signatur, Ereignis, verhaltensbasierte Erkennung automatische Signaturupdates in kurzen Abständen Verschiedene Eventkategorien (Critical ... Minor) Feintuning der Events möglich Aktionen: Block, Inform, Reduce … Ausgereiftes Loging & Reporting (Flatfile (CSV), XML, PDF, HTML, Grafik) 9 IPS-Test im GWDG Lab • Gerät: TippingPoint 2400, 2 Wochen bei der GWDG im Testbetrieb am Internetzugang (1GBit/s), sowie am WLAN Übergang (100MBit/s) • Bandbreite 2-2.4 GBit/s (transparent), 4 Doppelports (GBit/s) • Regulärer Betrieb seit Anfang 12/05 Testaufbau bei der GWDG 100MBit/s Internet 1GBit/s WLAN 100MBit/s PC für Penetrationstest Tippingpoint SMS SMS Client SMS: Security Manager System Dell Server mit RedHat Logging, Auswertung, Tracking, db GÖNET Honeypot, bzw. unsicheres System 10 IPS-Test im GWDG Lab Penetrationstest (Attacks) Opfersystem: Angreifer: PC mit debian (Knoppix) honeyd Laptop mit Windows XP und whoppix(whax) unter VMWARE, sowie Nessus PC (Debian: Knoppix „iWhax“,Nessus, nmap) 192.168.10.100 100MBit/s 100MBit/s 192.168.1.1 … 192.168.1.30 Honeypot, Knoppix (mit Honeyd) Bzw. Windows 98 in VMWARE 11 IPS-Test im GWDG Lab Ergebnis (Attacks) IPS Logfile Attacke: Name Category Src. Port Dst. Addr. Dst. Port Severity nmap 7001: UDP: Port Scan Reconnaissance 0 192.168.1.4 0 Low 2350: MS-RPC: DCOM IRemoteActivation Request Security Policy 60965 192.168.1.2 135 Critical 3643: HTTP: Nikto HTTP Request Attacks - Exploits57509 192.168.1.3 80 Major Nikto web scan 7000: TCP: Port Scan Reconnaissance 0 192.168.1.1 0 Low nmap 0292: Invalid TCP Traffic: Possible nmap Scan (NoReconnaissance Flags) 64043 192.168.1.1 22 Minor nmap 2350: MS-RPC: DCOM IRemoteActivation Request Security Policy 54310 192.168.1.3 135 Critical nessus 1576: Backdoor: Back Orifice Communications Attacks - Exploits32866 192.168.1.3 31337 Critical nessus 0292: Invalid TCP Traffic: Possible nmap Scan (NoReconnaissance Flags) 22 192.168.1.1 22 Minor 0087: ICMP: Modem Hangup (+++ATH) Echo Request Attacks - Vulnerabilities0 192.168.1.3 0 Minor Ping mit „Inhalt“ 7000: TCP: Port Scan Reconnaissance 0 192.168.1.1 0 Low 0290: Invalid TCP Traffic: Possible Recon Scan (SYN Reconnaissance FIN) 10004 192.168.1.1 22 Minor 1576: Backdoor: Back Orifice Communications Attacks - Exploits33271 192.168.1.1 31337 Critical 0560: DNS: Version Request (udp) Reconnaissance 32861 192.168.1.3 53 Minor 3642: HTTP: Nessus HTTP Request Attacks - Exploits53075 192.168.1.3 80 Major 0121: Stacheldraht: Agent Finder Gag Scanner (General) Reconnaissance 0 192.168.1.3 0 Minor Stacheldraht 0292: Invalid TCP Traffic: Possible nmap Scan (NoReconnaissance Flags) 143 192.168.1.3 143 Minor 2350: MS-RPC: DCOM IRemoteActivation Request Security Policy 54319 192.168.1.3 135 Critical Event ID 12 IPS-Test im GWDG Lab Penetrationstest (Bandbreite) Systeme (Quelle & Ziel): PCs mit „IPERF“, 1GBit Connection Software: IPERF als Daemon und Client (http://dast.nlanr.net/Projects/Iperf/) Bandbreitentest IPERF als Client 192.168.1.100 1GBis/s 1GBit/s UDP Traffic 1GBis/s IPERF als Daemon 192.168.1.1 13 IPS-Test im GWDG Lab Ergebnis (Bandbreite) • IPS hatte bis zu Bandbreiten von 800 MBit/s keine Packet-Loss • Bei höheren Bandbreiten aktivierte das IPS die eigene „Performance Protection“, wobei „Alerts“ automatisch für 600 Sekunden deaktiviert wurde … • Die Schwellwerte sowie die Dauer der Performance Protection können verändert werden 14 IPS-Test im GWDG Lab Penetrationstest Fazit: • Die meisten provozierten Attacken wurden erkannt • Nicht erkannt wurden: - (einige) SQL Injection Attacks, hier gab es in letzter Zeit verbesserte Filter - SSH Attacken (User/Password-Dictionary Attacks). (Ansich ist ein SSH mit mehr als 5 Usernamen pro Quell- und Zieladresse pro Sekunde eine Attacke) • Bei sehr hohen Bandbreiten kommt das System in die Begrenzung, weiß sich aber grundlegend davor zu schützen 15 IPS-Test im GWDG Lab Ergebnisse der Testphase: Erkennung & Reports • No. 1 ist immer noch SQL-Slammer > 8E6 Events/Woche ( single UDP packet) • Einige Attacken konnten nicht erkannt werden, da hinter dem IPS ACLs auf dem Router existierten (Kommunikation hinter IPS wurde geblockt) • Viele interne Systeme, die externe Ziele „angriffen“ wurden erkannt (Übereinstimmung mit unseren bisherigen Security-Scripts) 16 IPS-Test im GWDG Lab Ergebnisse der Testphase: Erkennung & Reports • Top Ten Attacks während der 10-tägigen Testphase (ohne Slammer) • Viele Spyware Verbindungen von Innen nach Außen wurden erkannt und blockiert Ohne SQL Slammer Event ID # Hits 17 IPS-Test im GWDG Lab Ergebnisse der Testphase: Erkennung & Reports Alternativ auch Syslog in diversen Formaten Zugriff auf MySQL db des SMS, Auswertung durch eigene Queries 2005-09-29 10:11:24 Auth.Critical 10.76.10.40 8;4;"00000002-0002-0002-0002-000000001456";"00000001-0001-0001-0001000000001456";"1456: MS-SQL: Slammer-Sapphire Worm";1456;"udp";"220.191.1.165";1125;"134.76.34.76";1434;2;3;3;"IPS";33625931;1127981498886 2005-09-29 10:11:24 Auth.Notice 10.76.10.40 8;1;"5e959504-28f9-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001000000003746";"3746: Spyware: CrackSpider Information Transfer";3746;"http";"134.76.76.202";1700;"213.244.183.210";80;1;3;3;"IPS";67570433;1127981499386 2005-09-29 10:11:24 Auth.Notice 10.76.10.40 8;1;"6287b1d0-2119-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001000000003298";"3298: Spyware: Click Spring/PurityScan Communication";3298;"http";"134.76.3.9";1099;"63.251.135.15";80;1;3;1;"IPS";67570433;1127981501686 2005-09-29 10:11:34 Auth.Notice 10.76.10.40 8;1;"5e951fd0-28f9-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001000000002965";"2965: Spyware: SaveNow/WhenU Program Download";2965;"http";"134.76.170.87";1056;"212.201.100.135";80;1;3;3;"IPS";67570433;1127981513069 2005-09-29 10:11:34 Auth.Critical 10.76.10.40 8;4;"00000002-0002-0002-0002-000000002289";"00000001-0001-0001-0001000000002289";"2289: MS-RPC: DCOM ISystemActivator Overflow";2289;"tcp";"134.76.3.62";1388;"134.76.26.232";135;1;3;1;"IPS";16907851;1127981510052 DCOM I SystemActivator Overflow";2289;"tcp";"134.76.3.62";1388;"134.76.26.232 18 IPS-Test im GWDG Lab Falscher Alarm (False Positive) • „Schwer zu beurteilen“, während der Testphase gab es keinerlei Beschwerden bzgl. Störungen • Tests innerhalb der GWDG bestätigten keine „false positives“ • Im Tippingpointsystem können(sollten) jedoch die Events angepasst werden (block, inform, reduce …) um Fehlalarme und etwaige Blockaden zu vermeiden (Vorgaben sind aber i.d.R. sinnvoll) 19 IPS-Test im GWDG Lab Ergebnisse der Testphase: TrafficShaping (misuse) • Tippingpoint erlaubt Bandbreitenbegrenzung für beliebige Events (und Event-Gruppen) • In der Testphase haben wir alle Tauschbörsen-Events zusammengefasst und „begrenzt“ (20 MBit/s) • Auch hier gab es keine Benutzerbeschwerden (…es fiel manchen Benutzern schwer, sich wegen schlecht funktionierender Tauschbörsen zu beschweren) MBits/s alle Tauschbörsen 20 IPS-Test im GWDG Lab Erkennung infiziertes Systeme innerhalb des Netzes durch das IPS • Attacken und virulentes Verhalten von Innen nach Außen lässt Rückschlüsse auf bereits infizierte, oder okkupierte Systeme zu • Hier können gezielt, befallene Systeme erkannt/bereinigt werden Attacken von Innen nach Außen (1 Week) 21 IPS-Test im GWDG Lab Effektiver Schutz: (Konkrete Beispiele der jüngeren Vergangenheit) • Am 28.12.05 wurde die WMF-Lücke bekannt. (http://www.f-secure.com/weblog/archives/archive-122005.html#00000752) • Am 28.12.05 (abends) war ein entsprechender Filter automatisch geladen und die Angriffe vom IPS automatisch abgewehrt • Erst einen Tag später merkten wir, dass wir bereits seit mehr als einem Tag nahezu „immun“ gegen die WMF-Attacke waren WMF-Attack Attack Type: Permits+Blocks Severity: Critical, Major From: Mon Dec 26 14:51:38 CET 2005 To: Mon Jan 02 15:51:38 CET 2006 22 IPS-Test im GWDG Lab Effektiver Schutz: (Konkrete Beispiele der jüngeren Vergangenheit) • Am 23.1.06 wurde vor der NYXEM.e Ausbreitungswelle gewarnt. • Am 1.2.06 haben wir den bereits seit längerem geladenen Filter „aktiviert“ • Wenige Sekunden später wurden die ersten NYXEM Attachments vom IPS abgewehrt (Ziel waren die Mailserver) Filter Name: Filter Number: Sourc e IP: Destination IP: Hits: Severity: 4122: SMTP: Nyxem.E (CME-24) Worm Email Attachment 4122 x.x.x.x 134.76.10.26 24 Critical 4122: SMTP: Nyxem.E (CME-24) Worm Email Attachment 4122 x.x.x.x 193.175.80.133 11 Critical 4122: SMTP: Nyxem.E (CME-24) Worm Email Attachment 4122 x.x.x.x 134.76.21.104 10 Critical … NYXEM.e Virus 23 Fazit IPS/IDS (allgemein): • Ein IDS/IPS ersetzt keine! Firewall oder Virenscanner • Sinnvoller Schutz In Kombination mit Firewall, Viren & Spyware Scanner, ProxyServer • Bildet zweite Verteidigungslinie hinter einer Firewall (Traffic, der nicht zugelassen wird, muß nicht geprüft werden) • Durch Verhaltens- und Anomalieerkennung zusätzlicher Schutz innerhalb des Netzwerkes (kann eine Firewall i.d.R. nicht lösen) • Einsatz mehrerer Sensoren (geografisch verteilt) zur Erkennung von Angriffsmustern möglich (i.d.R. bei IDS) • IPS auch in Kombination mit IDS einsetzbar !? • NID(P)S & HID(P)S in Kombination sinnvoll nutzbar !? • I.d.R. kein Schutz bei verschlüsselten Verbindungen 24 Fazit IPS von Tippingpoint: • GWDG hatte verschiedene System im Test bzw. betrachtet McAfee (Intrushield), CISCO (Mars1) • Aufgrund des Vergleiches war Tippingpoint die „Wahl“ • GWDG hat System Tippingpoint 2400 gekauft • System wird Internetzugang sowie weitere interne Netzbereiche absichern • Ein Ersatz der „selbstgeschriebenen“ Scripts zur Erkennung abnormalen Verhaltens durch das IPS ist möglich • Erhebliche Zeiteinsparungen im Bereich des Security-Managements • Sehr einfache Integration in bestehende Netzstruktur 1) Monitoring, Analysis and Response System 25 Fazit IPS von Tippingpoint: • Erhebliche zeitliche Einsparung bei Nachforschungen bzgl. erfolgreicher Attacken und Eindringlingen (bisheriger Aufwand: 2-3 Mann-Stunden/Tag) • Sehr ausgereiftes, und an die Bedürfnisse adaptierbares Reporting (SQL-Database) • Ausgliederung wesentlicher Dienste des IPS vom Security Experten zum unserem Help-Desk Team 26 Fazit IPS von Tippingpoint ROI: • Annahme: Kosten = (Anschaffungspreis + Installationskosten + Wartungskosten für 3 Jahre) = 115 T€ • Einsparung: Halben IT-Angestellten mit einem Gehalt von 60 T €/a • Einsparungen bei der Analyse erfolgreicher Attacken: 2,5 h/Day * 200 Days = 500 h/a * 20€/h Jahre= 115T€ 60T€ + (500h * 20€/h) 2 1000 = 2,88 Jahre 27 Vielen Dank!CISOYTEM S C IS O Y S T E M … Fragen CISCO S Y STEMS LOWER UPPER NORMAL POWER POWER und Diskussionen! 28 Effizienter Einsatz von IPS in Netzen Dieses Script: http://www.gwdg.de/~aisslei/ (Vorträge) Tippingpoint: http://www.tippingpoint.com/ Snort: http://www.snort.org/ Whoppix: http://www.iwhax.net Adresse: Andreas Ißleiber mail: [email protected] Phone: +49 551 201-1815 29