IPS-IDC-Case-Study-n..

Werbung
Effizienter Einsatz
von IPS in Netzen
von
Andreas Ißleiber
[email protected]
Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen
Am Fassberg, 37077 Göttingen
Fon: 0551 201-1510 Fax: 0551 21119
[email protected] www.gwdg.de
Über uns… (Gesellschaft)
GWDG, Gesellschaft für wissenschaftliche
Datenverarbeitung Göttingen
• GWDG ist eine gemeinsame Einrichtung des Landes
Niedersachsen und der Max-Planck-Gesellschaft (GmbH),
Gründung 1970, 65 Beschäftigte
• Doppelfunktion als…:
• Zentrales Hochschul-Rechenzentrum der Universität
Göttingen mit 25.000 Studierenden, 13.000 Beschäftigten
• Rechen- und Kompetenzzentrum der Max-Planck
Gesellschaft (Bundesweit) ca. 80 Institute 12.000
Beschäftigte
2
Über uns… (Netzwerk)
• GWDG ist Netzwerkbetreiber für die Göttinger
Wissenschaftsnetz (GÖNET), Class B Netz
• >= 12.000 Nodes, 38.000 User
• Internet access: 1GBit/s
3
Bisherige Schutzmechanismen
•
•
•
•
Logfileauswertung der Router-Daten (Flows)
Auswertung von abnormalem Traffic (Volumina)
Erkennung virulenten Verhaltens (ARP-Requests)
Alarm bei Nutzung subtiler, verdächtiger Ports
(Diplomarbeit)
• IDS System (Enterrasys Dragon)
• Pro
- Eigenentwicklung, Anpassung an lokale Bedürfnisse
• Contra
- Hoher Entwicklungsaufwand
- Ggf. Sicherheitslücken, keine schnelle Reaktion auf
Angriffswellen möglich
- Geringere Stabilität, hoher Wartungsaufwand
4
Anforderungen, Motive bzgl. Sicherheit
•
•
•
•
•
•
•
•
Absicherung des lokalen Netzwerkes
Standardisierte Lösung (keine „Bastellösung“)
Möglichst automatisierte Reaktion auf Attacken
Erweitertes Logging, Eskalationswege
Geringer Wartungsaufwand
Hohe Erkennungsrate
Hohe Bandbreite
Übernahme des operativen Betriebs durch
geringer qualifiziertes Personal (keine Experten)
5
Was ist ein IPS ?
• Traffic wird im Vergleich zum IDS bei Angriffen …
Blockiert, Reduziert, Alarmiert, Blacklist (alles bidirektional !)
• Weitere Aktion: ggf. Senden von TCP-„Reset“ an die Quelle
• Transparenter Modus (inline mode),
keine Änderungen des Traffic
• Erkennung muß exakt und schnell
Internet
sein, da sonst legaler Traffic
Logging
blockiert wird (false positive)
und
Firewall
(selbstgebautes DoS)
ggf. Auswertung
„block“ bei
• Erkennung in L2-L7
IPS
Attacken
• Hohe Bandbreite erforderlich
L2-Bridge
(kein Engpass im Netz)
!
LAN
6
Vergleich IDS vs. IPS
IDS
vs.
+ Einsatz mehrerer
Sensoren im Netz
- Überwachung des IDS durch
Administrator erforderlich
- (zu)viele Loggingingformationen
IPS
+ aktive Abwehr von Angriffen
+ geringerer administrativer
Aufwand
- im inline mode:
schnelle Erkennung
und Reaktion erforderlich
Hardware  hoher Preis
7
IPS-Typen
hostbasierte IDS/IPS (Software auf Endgerät)
+ geringe Datenmenge
+ Systemzustand erkennbar, schädlicher Code
+ Bei „false positive“ nur eigenes System betroffen
- ggf. auf OS-Ebene auszuhebeln, da Programm/Dienst
- Verwaltung pro Host
- eingeschränkte Sicht (nur host)
netzbasierte IDS/IPS „NIPS“(Software o. Appliance zentral)
+ kann ganzes Segment überwachen/schützen
+ besserer Schutz bei (D)DoS Attacken
+ Überblick über gesamtes Netz
(Gesamtbild ergibt erst eine Attacke)
+ sieht auch Attacken auf unbenutzte Adressen
+ zentrales Management
- hohe Bandbreite erforderlich, Latenzen ?
8
Tippingpoint IPS
Features:
•
•
•
•
•
•
Kombination Hard- & Softwarelösung
Signatur, Ereignis, verhaltensbasierte Erkennung
automatische Signaturupdates in kurzen Abständen
Verschiedene Eventkategorien (Critical ... Minor)
Feintuning der Events möglich  Aktionen: Block, Inform, Reduce …
Ausgereiftes Loging & Reporting (Flatfile (CSV), XML, PDF, HTML,
Grafik)
9
IPS-Test im GWDG Lab
• Gerät: TippingPoint 2400, 2 Wochen bei der GWDG im Testbetrieb
am Internetzugang (1GBit/s), sowie am WLAN Übergang (100MBit/s)
• Bandbreite 2-2.4 GBit/s (transparent), 4 Doppelports (GBit/s)
• Regulärer Betrieb seit Anfang 12/05
Testaufbau bei der GWDG
100MBit/s
Internet
1GBit/s
WLAN
100MBit/s
PC für
Penetrationstest
Tippingpoint SMS
SMS Client
SMS: Security Manager System
Dell Server mit RedHat
 Logging, Auswertung, Tracking, db
GÖNET
Honeypot, bzw.
unsicheres System
10
IPS-Test im GWDG Lab
Penetrationstest (Attacks)
Opfersystem:
Angreifer:
PC mit debian (Knoppix) honeyd
Laptop mit Windows XP und whoppix(whax) unter
VMWARE, sowie Nessus
PC (Debian: Knoppix „iWhax“,Nessus, nmap)
192.168.10.100
100MBit/s
100MBit/s
192.168.1.1 … 192.168.1.30
Honeypot, Knoppix (mit Honeyd)
Bzw. Windows 98 in VMWARE
11
IPS-Test im GWDG Lab
Ergebnis (Attacks)
IPS Logfile
Attacke:
Name
Category
Src. Port
Dst. Addr. Dst. Port
Severity
nmap
7001: UDP: Port Scan
Reconnaissance
0 192.168.1.4
0 Low
2350: MS-RPC: DCOM IRemoteActivation Request
Security Policy 60965 192.168.1.2
135 Critical
3643: HTTP: Nikto HTTP Request
Attacks - Exploits57509 192.168.1.3
80 Major
Nikto web scan
7000: TCP: Port Scan
Reconnaissance
0 192.168.1.1
0 Low
nmap
0292: Invalid TCP Traffic: Possible nmap Scan (NoReconnaissance
Flags)
64043 192.168.1.1
22 Minor
nmap
2350: MS-RPC: DCOM IRemoteActivation Request
Security Policy 54310 192.168.1.3
135 Critical
nessus
1576: Backdoor: Back Orifice Communications Attacks - Exploits32866 192.168.1.3 31337 Critical
nessus
0292: Invalid TCP Traffic: Possible nmap Scan (NoReconnaissance
Flags)
22 192.168.1.1
22 Minor
0087: ICMP: Modem Hangup (+++ATH) Echo Request
Attacks - Vulnerabilities0 192.168.1.3
0 Minor
Ping mit „Inhalt“
7000: TCP: Port Scan
Reconnaissance
0 192.168.1.1
0 Low
0290: Invalid TCP Traffic: Possible Recon Scan (SYN
Reconnaissance
FIN)
10004 192.168.1.1
22 Minor
1576: Backdoor: Back Orifice Communications Attacks - Exploits33271 192.168.1.1 31337 Critical
0560: DNS: Version Request (udp)
Reconnaissance 32861 192.168.1.3
53 Minor
3642: HTTP: Nessus HTTP Request
Attacks - Exploits53075 192.168.1.3
80 Major
0121: Stacheldraht: Agent Finder Gag Scanner (General)
Reconnaissance
0 192.168.1.3
0 Minor
Stacheldraht
0292: Invalid TCP Traffic: Possible nmap Scan (NoReconnaissance
Flags)
143 192.168.1.3
143 Minor
2350: MS-RPC: DCOM IRemoteActivation Request
Security Policy 54319 192.168.1.3
135 Critical
Event ID
12
IPS-Test im GWDG Lab
Penetrationstest (Bandbreite)
Systeme (Quelle & Ziel): PCs mit „IPERF“, 1GBit Connection
Software:
IPERF als Daemon und Client
(http://dast.nlanr.net/Projects/Iperf/)
Bandbreitentest
IPERF als Client
192.168.1.100
1GBis/s
1GBit/s UDP Traffic
1GBis/s
IPERF als Daemon
192.168.1.1
13
IPS-Test im GWDG Lab
Ergebnis (Bandbreite)
• IPS hatte bis zu Bandbreiten von 800 MBit/s keine Packet-Loss
• Bei höheren Bandbreiten aktivierte das IPS die eigene „Performance
Protection“, wobei „Alerts“ automatisch für 600 Sekunden deaktiviert
wurde …
• Die Schwellwerte sowie die Dauer der Performance Protection können
verändert werden
14
IPS-Test im GWDG Lab
Penetrationstest Fazit:
• Die meisten provozierten Attacken wurden erkannt
• Nicht erkannt wurden:
- (einige) SQL Injection Attacks, hier gab es in letzter
Zeit verbesserte Filter
- SSH Attacken (User/Password-Dictionary Attacks).
(Ansich ist ein SSH mit mehr als 5 Usernamen pro Quell- und
Zieladresse pro Sekunde eine Attacke)
• Bei sehr hohen Bandbreiten kommt das System in die Begrenzung,
weiß sich aber grundlegend davor zu schützen
15
IPS-Test im GWDG Lab
Ergebnisse der Testphase: Erkennung & Reports
• No. 1 ist immer noch SQL-Slammer > 8E6 Events/Woche
( single UDP packet)
• Einige Attacken konnten nicht erkannt werden, da hinter dem IPS
ACLs auf dem Router existierten (Kommunikation hinter IPS
wurde geblockt)
• Viele interne Systeme, die externe Ziele „angriffen“ wurden
erkannt (Übereinstimmung mit unseren bisherigen Security-Scripts)
16
IPS-Test im GWDG Lab
Ergebnisse der Testphase: Erkennung & Reports
• Top Ten Attacks während der 10-tägigen Testphase (ohne Slammer)
• Viele Spyware Verbindungen von Innen nach Außen wurden erkannt
und blockiert
Ohne SQL Slammer
Event ID
# Hits
17
IPS-Test im GWDG Lab
Ergebnisse der Testphase: Erkennung & Reports
 Alternativ auch Syslog in diversen Formaten
 Zugriff auf MySQL db des SMS, Auswertung durch eigene Queries
2005-09-29 10:11:24
Auth.Critical
10.76.10.40
8;4;"00000002-0002-0002-0002-000000001456";"00000001-0001-0001-0001000000001456";"1456: MS-SQL: Slammer-Sapphire Worm";1456;"udp";"220.191.1.165";1125;"134.76.34.76";1434;2;3;3;"IPS";33625931;1127981498886
2005-09-29 10:11:24
Auth.Notice
10.76.10.40
8;1;"5e959504-28f9-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001000000003746";"3746: Spyware: CrackSpider Information
Transfer";3746;"http";"134.76.76.202";1700;"213.244.183.210";80;1;3;3;"IPS";67570433;1127981499386
2005-09-29 10:11:24
Auth.Notice
10.76.10.40
8;1;"6287b1d0-2119-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001000000003298";"3298: Spyware: Click Spring/PurityScan
Communication";3298;"http";"134.76.3.9";1099;"63.251.135.15";80;1;3;1;"IPS";67570433;1127981501686
2005-09-29 10:11:34
Auth.Notice
10.76.10.40
8;1;"5e951fd0-28f9-11da-41c4-9ef6bcf14fa9";"00000001-0001-0001-0001000000002965";"2965: Spyware: SaveNow/WhenU Program
Download";2965;"http";"134.76.170.87";1056;"212.201.100.135";80;1;3;3;"IPS";67570433;1127981513069
2005-09-29 10:11:34
Auth.Critical
10.76.10.40
8;4;"00000002-0002-0002-0002-000000002289";"00000001-0001-0001-0001000000002289";"2289: MS-RPC: DCOM ISystemActivator
Overflow";2289;"tcp";"134.76.3.62";1388;"134.76.26.232";135;1;3;1;"IPS";16907851;1127981510052
DCOM I SystemActivator Overflow";2289;"tcp";"134.76.3.62";1388;"134.76.26.232
18
IPS-Test im GWDG Lab
Falscher Alarm
(False Positive)
• „Schwer zu beurteilen“, während der
Testphase gab es keinerlei
Beschwerden bzgl. Störungen
• Tests innerhalb der GWDG bestätigten keine „false
positives“
• Im Tippingpointsystem können(sollten) jedoch die Events
angepasst werden (block, inform, reduce …) um
Fehlalarme und etwaige Blockaden zu vermeiden
(Vorgaben sind aber i.d.R. sinnvoll)
19
IPS-Test im GWDG Lab
Ergebnisse der Testphase: TrafficShaping (misuse)
• Tippingpoint erlaubt Bandbreitenbegrenzung für beliebige Events
(und Event-Gruppen)
• In der Testphase haben wir alle Tauschbörsen-Events
zusammengefasst und „begrenzt“ (20 MBit/s)
• Auch hier gab es keine Benutzerbeschwerden
(…es fiel manchen Benutzern schwer, sich wegen schlecht funktionierender
Tauschbörsen zu beschweren)
MBits/s
alle Tauschbörsen
20
IPS-Test im GWDG Lab
Erkennung infiziertes Systeme innerhalb des Netzes
durch das IPS
• Attacken und virulentes Verhalten von Innen nach Außen lässt
Rückschlüsse auf bereits infizierte, oder okkupierte Systeme zu
• Hier können gezielt, befallene Systeme erkannt/bereinigt werden
Attacken von Innen nach Außen (1 Week)
21
IPS-Test im GWDG Lab
Effektiver Schutz: (Konkrete Beispiele der jüngeren Vergangenheit)
• Am 28.12.05 wurde die WMF-Lücke bekannt.
(http://www.f-secure.com/weblog/archives/archive-122005.html#00000752)
• Am 28.12.05 (abends) war ein entsprechender Filter automatisch
geladen und die Angriffe vom IPS automatisch abgewehrt
• Erst einen Tag später merkten wir, dass wir bereits seit mehr als einem
Tag nahezu „immun“ gegen die WMF-Attacke waren
WMF-Attack
Attack Type: Permits+Blocks
Severity: Critical, Major
From: Mon Dec 26 14:51:38 CET 2005
To:
Mon Jan 02 15:51:38 CET 2006
22
IPS-Test im GWDG Lab
Effektiver Schutz: (Konkrete Beispiele der jüngeren Vergangenheit)
• Am 23.1.06 wurde vor der NYXEM.e Ausbreitungswelle gewarnt.
• Am 1.2.06 haben wir den bereits seit längerem geladenen Filter „aktiviert“
• Wenige Sekunden später wurden die ersten NYXEM Attachments vom
IPS abgewehrt (Ziel waren die Mailserver)
Filter Name:
Filter
Number:
Sourc
e IP:
Destination IP:
Hits:
Severity:
4122: SMTP: Nyxem.E (CME-24) Worm Email Attachment
4122
x.x.x.x
134.76.10.26
24
Critical
4122: SMTP: Nyxem.E (CME-24) Worm Email Attachment
4122
x.x.x.x
193.175.80.133
11
Critical
4122: SMTP: Nyxem.E (CME-24) Worm Email Attachment
4122
x.x.x.x
134.76.21.104
10
Critical
…
NYXEM.e Virus
23
Fazit
IPS/IDS (allgemein):
• Ein IDS/IPS ersetzt keine! Firewall oder Virenscanner
• Sinnvoller Schutz In Kombination mit Firewall, Viren &
Spyware Scanner, ProxyServer
• Bildet zweite Verteidigungslinie hinter einer Firewall
(Traffic, der nicht zugelassen wird, muß nicht geprüft werden)
• Durch Verhaltens- und Anomalieerkennung
 zusätzlicher Schutz innerhalb des Netzwerkes
(kann eine Firewall i.d.R. nicht lösen)
• Einsatz mehrerer Sensoren (geografisch verteilt) zur
Erkennung von Angriffsmustern möglich (i.d.R. bei IDS)
• IPS auch in Kombination mit IDS einsetzbar !?
• NID(P)S & HID(P)S in Kombination sinnvoll nutzbar !?
• I.d.R. kein Schutz bei verschlüsselten Verbindungen
24
Fazit
IPS von Tippingpoint:
• GWDG hatte verschiedene System im Test
bzw. betrachtet  McAfee (Intrushield), CISCO (Mars1)
• Aufgrund des Vergleiches war Tippingpoint die „Wahl“
• GWDG hat System Tippingpoint 2400 gekauft
• System wird Internetzugang sowie weitere interne
Netzbereiche absichern
• Ein Ersatz der „selbstgeschriebenen“ Scripts zur Erkennung
abnormalen Verhaltens durch das IPS ist möglich
• Erhebliche Zeiteinsparungen im Bereich des
Security-Managements
• Sehr einfache Integration in bestehende Netzstruktur
1) Monitoring, Analysis and Response System
25
Fazit
IPS von Tippingpoint:
• Erhebliche zeitliche Einsparung bei Nachforschungen bzgl.
erfolgreicher Attacken und Eindringlingen
(bisheriger Aufwand: 2-3 Mann-Stunden/Tag)
• Sehr ausgereiftes, und an die Bedürfnisse adaptierbares
Reporting (SQL-Database)
• Ausgliederung wesentlicher Dienste des IPS vom Security
Experten zum unserem Help-Desk Team
26
Fazit
IPS von Tippingpoint ROI:
• Annahme:
Kosten = (Anschaffungspreis + Installationskosten +
Wartungskosten für 3 Jahre) = 115 T€
• Einsparung: Halben IT-Angestellten mit einem Gehalt von
60 T €/a
• Einsparungen bei der Analyse erfolgreicher Attacken:
2,5 h/Day * 200 Days = 500 h/a * 20€/h
Jahre=
115T€
60T€ + (500h * 20€/h)
2
1000
= 2,88 Jahre
27
Vielen Dank!CISOYTEM
S
C
IS
O
Y
S
T
E
M
… Fragen
CISCO
S
Y
STEMS
LOWER
UPPER
NORMAL
POWER
POWER
und Diskussionen!
28
Effizienter Einsatz
von IPS in Netzen
Dieses Script:
http://www.gwdg.de/~aisslei/
(Vorträge)
Tippingpoint:
http://www.tippingpoint.com/
Snort:
http://www.snort.org/
Whoppix:
http://www.iwhax.net
Adresse:
Andreas Ißleiber
mail: [email protected]
Phone: +49 551 201-1815
29
Herunterladen